CER directive: bent u een kritieke entiteit en wat moet u nu doen?

Belgische organisaties in sectoren zoals energie, transport, gezondheidszorg en financiën staan voor een nieuwe realiteit. De CER-richtlijn (Critical Entities Resilience Directive), de Europese richtlijn over de weerbaarheid van kritieke entiteiten, legt concrete verplichtingen op die verder gaan dan cybersecurity alleen. Het gaat om de fysieke en operationele robuustheid van uw organisatie als geheel. Nog te veel Belgische bedrijven en instellingen weten niet of ze onder de richtlijn vallen, laat staan wat ze concreet moeten doen. Dit artikel brengt duidelijkheid. 

Webinar over CER - 3 juni 2026

Wat is de CER-richtlijn precies?

CER staat voor Critical Entities Resilience. De richtlijn (EU 2022/2557) is gepubliceerd in december 2022 en moest door EU-lidstaten worden omgezet tegen 17 oktober 2024. Ze vervangt de oude richtlijn over Europese kritieke infrastructuur en breidt die aanzienlijk uit.

Het kernidee is eenvoudig: sommige organisaties zijn zo essentieel voor de samenleving dat hun uitval of verstoring een cascade-effect zou hebben op miljoenen mensen, de economie of de nationale veiligheid. Die organisaties moeten aantoonbaar weerbaar zijn, niet enkel op vlak van cybersecurity, maar op alle fronten: fysieke beveiliging, operationele continuiteitsplanning, detectie & monitoring, incidentrespons & herstel en governance & personeel.

De CER-richtlijn staat niet op zichzelf. Ze vormt samen met de NIS2-richtlijn (over netwerk- en informatieveiligheid) een geïntegreerd kader voor de bescherming van essentiële diensten. Waar NIS2 focust op digitale dreigingen, richt CER zich op de bredere operationele weerbaarheid.

Wat is het verschil tussen CER en NIS2?

NIS2 vs CER richtlijn

Valt uw organisatie onder CER in België?

De aanwijzing als kritieke entiteit gebeurt door de Belgische overheid, op basis van een risicoanalyse per sector. De CER-richtlijn definieert elf sectoren die in scope vallen:

Welke essentiële sectoren vallen onder CER directive?
  • Energie: elektriciteit, olie, gas, stadsverwarming- en koeling, en waterstof
  • Transport: lucht-, spoor-, water- en wegvervoer, evenals openbaar vervoer
  • Bankwezen: instellingen die bankdiensten verlenen
  • Infrastructuur financiële markt: organisaties die financiële markten faciliteren
  • Gezondheidszorg: ziekenhuizen, laboratoria, farmaceutische bedrijven
  • Drinkwater: productie en distributie van drinkwater
  • Afvalwater: verzameling, afvoer en zuivering van afvalwater
  • Digitale infrastructuur: aanbieders van essentiële digitale diensten en infrastructuur
  • Overheid: publieke administratie op centraal en regionaal niveau
  • Ruimtevaart: infrastructuur gerelateerd aan ruimtevaarttechnologie 
  • Levensmiddelen: Productie, verwerking en distributie van levensmiddelen

Niet elke organisatie in deze sectoren wordt automatisch als kritieke entiteit aangewezen. De nationale autoriteit beoordeelt per geval of de dienstverlening van de organisatie essentieel is voor de samenleving, op basis van criteria zoals het aantal gebruikers, de geografische reikwijdte en de mate van onderlinge afhankelijkheid met andere sectoren.

Als uw organisatie actief is in een van deze sectoren, is het verstandig om proactief te evalueren of een aanwijzing aannemelijk is en u voor te bereiden.

Webinar: Critical Entities Resilience (CER Directive) - what’s new & what’s next?

De CER-richtlijn is complex. De aanwijzingscriteria zijn niet altijd eenduidig, de Belgische omzettingswetgeving is volop in beweging, en de overlap met NIS2 zorgt bij veel organisaties voor verwarring.

Op 3 juni 2026 om 11u organiseert Infosentry een webinar specifiek gewijd aan de CER-richtlijn in de Belgische context. Het webinar wordt in het Engels gegeven.

  • Waarom Critical Entities Resilience belangrijk zijn
  • Overzicht van de CER-richtlijn
  • De omzetting van de CER-richtlijn in Belgisch recht
  • De wisselwerking tussen NIS2 en CER
  • Wat zijn de gevolgen voor organisaties die als kritieke entiteiten zijn aangewezen?

Schrijf u vandaag nog in en zet een eerste stap richting CER-compliance. 

Schrijf u hier in

Wat betekent CER als u wordt aangewezen?

Tot voor kort was de bescherming van kritieke infrastructuur in Europa geregeld via de richtlijn uit 2008 (2008/114/EG). Die richtlijn was verouderd, smal in scope en liet veel ruimte voor nationale interpretatie. In de praktijk betekende dat: weinig uniforme bescherming en grote verschillen tussen lidstaten.

De CER Directive (EU 2022/2557) maakt komaf met die fragmentatie. Ze is breder, strenger en actiegerichter. België is verplicht om de richtlijn om te zetten in nationale wetgeving. De Belgische omzetting van de CER-richtlijn vertaalt Europese principes naar concrete verplichtingen, termijnen en toezicht. Zodra uw organisatie officieel wordt aangewezen als kritieke entiteit:

  • voert u binnen 9 maanden een eigen risicoanalyse uit
  • implementeert u binnen 10 maanden passende weerbaarheidsmaatregelen
  • meldt u significante incidenten binnen 24 uur aan de bevoegde autoriteit
  • stelt u procedures op voor detectie, respons en herstel
  • moet u aantoonbaar klaar zijn voor inspecties en audits

Kortom: dit is geen papieren oefening. Het is een structurele verschuiving in hoe Europa omgaat met de weerbaarheid van essentiële diensten.

Als uw organisatie actief is in een van deze sectoren, is het verstandig om proactief te evalueren of een aanwijzing aannemelijk is en u voor te bereiden.

Wat houdt de zorgplicht onder CER in?

De zorgplicht onder CER verplicht kritieke entiteiten om maatregelen te nemen op 5 niveaus: 

  1. Fysieke beveiliging: Bescherming van gebouwen, installaties, toegangsbeheer en kritieke zones
  2. Operationele continuïteit: Business continuity plannen, scenario’s, alternatieve processen
  3. Detectie & monitoring: Procedures om verstoringen en incidenten tijdig te herkennen
  4. Incidentrespons & herstel: Rollen, verantwoordelijkheden en herstelcapaciteit
  5. Governance & personeel: Beleid, verantwoordelijk management en awareness bij medewerkers

Alles moet gedocumenteerd én aantoonbaar operationeel zijn.

Weet u al of uw organisatie voldoet?

Plan een vrijblijvend intakegesprek met een van onze experts.

Praat met een expert
Contacteer ons via mail

Wat zijn de verplichtingen voor kritieke entiteiten?

Organisaties die officieel worden aangewezen als kritieke entiteit, krijgen een reeks concrete verplichtingen opgelegd. We vatten de drie belangrijkste samen.

1. Risicobeoordeling

Kritieke entiteiten moeten een grondige risicoanalyse uitvoeren. Die moet alle relevante dreigingen in kaart brengen: niet alleen cyberaanvallen, maar ook fysieke bedreigingen (sabotage, natuurrampen, terrorisme), interne risico’s en afhankelijkheden van toeleveranciers.

Het risico-assessment is geen eenmalige oefening. Het moet regelmatig worden herzien, zeker na significante wijzigingen in de organisatie of het dreigingslandschap.

2. Toezicht en handhaving

Op basis van het risico-assessment moet de organisatie een resilience plan opstellen. Dat plan beschrijft welke maatregelen worden genomen om risico’s te beperken, hoe de organisatie reageert bij een incident en hoe de continuïteit van de dienstverlening wordt gewaarborgd.

Het plan moet concreet, gedocumenteerd en aantoonbaar operationeel zijn. Een document dat in een lade ligt te verstoffen, volstaat niet. Toezichthouders kunnen inzage eisen.

 

3. Meldplicht

Bij significante incidenten, verstoringen die de dienstverlening ernstig kunnen beïnvloeden, moeten kritieke entiteiten dit melden aan de bevoegde nationale autoriteit. De termijnen en criteria worden vastgelegd in de nationale omzettingswetgeving.

Vroegtijdige, transparante melding is niet alleen een wettelijke verplichting. Het stelt de autoriteiten ook in staat om snel te reageren en verdere schade te beperken.

Wat als u niet compliant bent?

De CER-richtlijn voorziet in toezicht en handhaving. Nationale autoriteiten krijgen de bevoegdheid om inspecties uit te voeren, audits op te leggen en informatie op te vragen. Bij niet-naleving kunnen administratieve maatregelen en sancties volgen. De exacte sancties worden bepaald door de Belgische omzettingswetgeving, maar het Europese kader verplicht lidstaten om effectieve, evenredige en afschrikkende sancties in te voeren.

Maar de zakelijke risico’s gaan verder dan boetes. Een ontregeling van uw dienstverlening, door een incident dat u had kunnen voorkomen met de juiste weerbaarheidsmaatregelen, kan leiden tot reputatieschade, klantverlies en aansprakelijkheid ten aanzien van afnemers die op uw diensten vertrouwen.

Weerbaarheid is dus niet alleen een compliance-verplichting. Het is een strategische investering in de continuïteit van uw organisatie.

Meer weten over de CER-richtlijn?

Van risico-inzicht tot concrete maatregelen: wij maken CER-compliance begrijpelijk en uitvoerbaar.
Geen jargon, maar een duidelijke aanpak die werkt.

Contacteer ons
NIS2 NIS2-regelgeving
NIS2

Valt jouw organisatie onder NIS2? Doe de gratis self-assessment en ontdek of jouw organisatie moet voldoen en wat de volgende stap is. Infosentry helpt je met een pragmatisch traject op maat, van assessment over implementatie tot langetermijnopvolging.

Lees meer
Risk management
Risk Management

Digitalisering brengt kansen, maar ook risico’s die je organisatie kunnen ondermijnen. Met een sterk risicokader op maat stem je je risicobereidheid af op je bedrijfsstrategie en neem je snelle, weloverwogen beslissingen zonder in te boeten op groei.

Lees meer
NIS2 whitepaper
Business Continuity

Ransomware, pandemieën, verstoringen in de supply chain: crises komen altijd onverwacht. Veel organisaties denken voorbereid te zijn, maar zijn het niet. Lees hoe Infosentry jouw business continuity aanpak versterkt, van plan tot uitvoering.

Lees meer