Inzicht in het Deense CER: wat kritieke entiteiten moeten weten

De Deense wet inzake de veerkracht van kritieke entiteiten (Lov om kritiske enheders modstandsdygtighed, in de volksmond ook wel de Deense CER genoemd) is op 1 juli 2025 in werking getreden. De wet geeft uitvoering aan de EU-richtlijn inz ake de veerkracht van kritieke entiteiten (CER) en stelt eisen vast voor organisaties die diensten verlenen die van essentieel belang zijn voor de samenleving.

Het doel van het kader is duidelijk: kritieke diensten moeten operationeel blijven, zelfs bij ernstige verstoringen. Deze verstoringen kunnen het gevolg zijn van cyberaanvallen, fysieke sabotage, extreme weersomstandigheden, storingen in de toeleveringsketen, ongevallen, noodsituaties op het gebied van de volksgezondheid of andere bedreigingen.

Aangezien de Deense CER gelijktijdig met de implementatie van NIS2 in Denemarken van kracht is geworden, hebben organisaties vaak moeite om te begrijpen hoe deze twee regelgevingskaders zich tot elkaar verhouden. Hoewel beide erop gericht zijn de veerkracht te versterken, hebben ze betrekking op verschillende soorten risico’s en leggen ze verschillende verplichtingen op.

In dit artikel wordt uitgelegd wie er mogelijk te maken krijgt met de Deense CER, wat naleving inhoudt en waarin het kader verschilt van NIS2.

De Deense CER omvat kritieke entiteiten

De Deense CER is van toepassing op organisaties die actief zijn in sectoren die essentiële diensten aan de samenleving leveren. Deze sectoren komen grotendeels overeen met de sectoren die in de EU-CER-richtlijn worden genoemd en omvatten:

• Energie
• Transport
• Bankwezen en infrastructuur van de financiële markten
• Gezondheidszorg
• Drinkwater
• Afvalwater
• Digitale infrastructuur
• Openbaar bestuur
• Ruimte
• Voedselproductie, -verwerking en -distributie

Entiteiten worden in het kader van de Deense CER niet op eigen initiatief aangemerkt. De bevoegde minister in elke sector wijst na nationale risicobeoordelingen formeel kritieke entiteiten aan. De aanwijzingsbesluiten moeten uiterlijk op 17 juli 2026 zijn afgerond.

Bij de beoordeling van organisaties houden autoriteiten rekening met factoren zoals:

• De aangeboden essentiële diensten
• De mogelijke maatschappelijke gevolgen van disruptieve veranderingen
• Onderlinge afhankelijkheden tussen sectoren
• Geografisch bereik
• Beschikbaarheid van alternatieve dienstverleners

Sommige organisaties die in meerdere EU-lidstaten actief zijn, kunnen bovendien worden aangemerkt als kritieke entiteiten van bijzonder Europees belang.

Uitzondering voor de energiesector

De energiesector hanteert een afzonderlijk rampenparaatheidskader op grond van de Wet inzake versterkte rampenparaatheid in de energiesector, waarmee zowel de CER- als de NIS2-vereisten via specifieke sectorale wetgeving worden geïmplementeerd. Daardoor vallen energiebedrijven over het algemeen niet rechtstreeks onder de Deense CER-wetgeving. Verwacht wordt dat de sectorale regelgeving voor energie en telecommunicatie strengere eisen zal stellen dan de minimumdrempels van de CER-richtlijn.

Wat zijn de vereisten van het Deense CER?

Het Deense CER is gebaseerd op een allesomvattende benadering van veerkracht. In plaats van zich uitsluitend op cyberbeveiliging te richten, moeten organisaties zich voorbereiden op een breed scala aan bedreigingen die essentiële diensten kunnen verstoren.

Zodra een entiteit als kritiek is aangemerkt, moet deze:

Voer een risicobeoordeling uit

Organisaties moeten risico’s in kaart brengen en beoordelen die hun vermogen om essentiële diensten te verlenen kunnen beïnvloeden. Bij deze beoordelingen moet rekening worden gehouden met:

• Natuurrampen
• Ongevallen
• Sabotage en terrorisme
• Bedreigingen van binnenuit
• Noodsituaties op het gebied van de volksgezondheid
• Hybride dreigingen
• Verstoringen in de toeleveringsketen

De risicobeoordeling vormt de basis voor alle daaropvolgende maatregelen ter versterking van de veerkracht.

Een veerkrachtplan opstellen en bijhouden

Op basis van de risicobeoordeling moeten organisaties een veerkrachtplan opstellen waarin wordt beschreven hoe zij verstoringen zullen voorkomen, het hoofd bieden, erop reageren en zich ervan herstellen.

Zorg voor passende maatregelen om de veerkracht te vergroten

Het kader vereist maatregelen die in verhouding staan tot de risico’s van de organisatie en haar rol in de samenleving. Deze omvatten doorgaans:

• Fysieke beveiligingsmaatregelen
• Procedures voor incidentafhandeling
• Regelingen voor crisisbeheersing
• Herstel- en continuïteitsmaatregelen
• Maatregelen voor de veiligheid van het personeel
• Coördinatieprocedures met overheidsinstanties

Een contactpersoon aanstellen

Kritieke entiteiten moeten een contactpersoon aanwijzen die verantwoordelijk is voor de communicatie met de bevoegde autoriteit.

Veerkracht is meer dan alleen bedrijfscontinuïteit

Een van de meest voorkomende misvattingen over CER is dat het in de eerste plaats een raamwerk voor bedrijfscontinuïteit is.

In werkelijkheid is bedrijfscontinuïteit slechts één onderdeel van veerkracht.

Volgens de Deense CER verwijst veerkracht naar het algemene vermogen van een organisatie om:

• Storingen voorkomen
• Incidenten het hoofd bieden
• Effectief reageren
• Herstelbewerkingen
• Je aanpassen aan toekomstige bedreigingen

Bedrijfscontinuïteitsplanning ondersteunt de respons- en herstelfase, maar om aan de voorschriften te voldoen zijn ook bredere maatregelen nodig, zoals fysieke beveiliging, personeelsbeveiliging, preventieve maatregelen en crisisbeheer.

Een degelijk bedrijfscontinuïteitsplan alleen volstaat niet om aan de CER-vereisten te voldoen. Wat vereist is, is een veerkrachtplan dat de volledige levenscyclus van verstoringen bestrijkt

Deense CER versus NIS2: wat is het verschil?

Hoewel de Deense CER en NIS2 nauw met elkaar verband houden, hebben ze betrekking op verschillende risico’s en verplichtingen.

Wanneer moeten incidenten worden gemeld?

Volgens de Deense CER moeten kritieke entiteiten incidenten melden die de levering van essentiële diensten aanzienlijk verstoren of zouden kunnen verstoren.

De rapportage verloopt doorgaans volgens dit tijdschema:

• Eerste melding binnen 24 uur
• Gedetailleerd rapport binnen een maand

NIS2 hanteert een andere procedure voor cyberincidenten:

• Vroegtijdige waarschuwing binnen 24 uur
• Melding van incidenten binnen 72 uur
• Eindrapport binnen een maand

Zijn beide kaders van toepassing?

Ja.

Een cyberaanval die een essentiële dienst verstoort, kan leiden tot verplichtingen op grond van zowel de CER als de NIS2.

Bijvoorbeeld:

• Een ransomware-aanval die de dienstverlening van een ziekenhuis verstoort, moet mogelijk onder beide regelgevingskaders worden gemeld.
• Een overstroming die schade toebrengt aan een waterzuiveringsinstallatie valt doorgaans uitsluitend onder CER.
• Een cyberincident dat gevolgen heeft voor een organisatie die onder NIS2 valt maar niet als kritieke entiteit is aangemerkt, zou alleen leiden tot meldingsverplichtingen op grond van NIS2.

Een belangrijk verschil is dat kritieke entiteiten in het kader van CER niet hetzelfde zijn als essentiële entiteiten in het kader van NIS2. De categorieën overlappen elkaar weliswaar, maar ze zijn via verschillende wettelijke mechanismen vastgesteld en dienen verschillende doelen.

Lees meer over het melden van NIS2-incidenten in onze aparte blog.‍

Tijdschema en volgende stappen

De Deense CER is op 1 juli 2025 in werking getreden, maar de aanwijzingsprocedure loopt nog door tot en met 2026.

‍

1 juli 2025: De Deense CER treedt in werking

17 juli 2026: De autoriteiten ronden de aanwijzing van kritieke entiteiten af

Aanduiding + 9 maanden: Risicobeoordeling afgerond

Aanduiding + 10 maanden: Veerkrachtplan en veerkrachtmaatregelen geïmplementeerd

Organisaties die verwachten te worden aangewezen, moeten al met de voorbereidingen beginnen voordat ze een officiële kennisgeving ontvangen. Het opzetten van een veerkrachtprogramma, het uitvoeren van risicobeoordelingen en het vastleggen van veerkrachtmaatregelen vereisen vaak een aanzienlijke mate van afstemming tussen de teams op het gebied van beveiliging, bedrijfsvoering, compliance en leidinggevenden.

Belangrijkste opmerkingen

• De Deense CER-verordening geeft uitvoering aan de EU-CER-richtlijn en is sinds 1 juli 2025 van kracht.
• Het kader richt zich op de veerkracht van essentiële diensten tegen alle soorten bedreigingen, niet alleen cyberdreigingen.
• Kritieke entiteiten worden door de autoriteiten aangewezen.
• Organisaties moeten risicobeoordelingen uitvoeren, maatregelen ter versterking van de veerkracht nemen en een veerkrachtplan bijhouden.
• Bedrijfscontinuïteit is slechts één onderdeel van het bredere begrip veerkracht.
• CER en NIS2 functioneren naast elkaar, met afzonderlijke meldingskanalen en verplichtingen.
• Organisaties die naar verwachting zullen worden aangewezen, moeten ruim voor de aanwijzingstermijn van juli 2026 met de voorbereidingen beginnen.

Conclusie

Het Deense CER introduceert een gestructureerde aanpak om essentiële diensten te beschermen tegen een breed scala aan bedreigingen. Hoewel het een aanvulling vormt op NIS2, richt het zich op een andere uitdaging: ervoor zorgen dat kritieke diensten beschikbaar blijven, ongeacht of verstoringen het gevolg zijn van cyberincidenten, fysieke aanvallen, natuurrampen of operationele storingen.

Voor organisaties die waarschijnlijk als kritieke entiteiten zullen worden aangemerkt, is het van het grootste belang om een veerkrachtprogramma te ontwikkelen dat verder gaat dan bedrijfscontinuïteit en dat preventie, bescherming, respons en herstel als één geheel benadert.