Ga direct naar inhoud

CER-richtlijn

Fysieke weerbaarheid van organisaties in de zorg

De Europese Unie heeft in 2022 de CER-richtlijn (Critical Entities Resilience) aangenomen, die van toepassing is op essentiële processen. Deze richtlijn heeft tot doel organisaties – waaronder zorginstellingen – voor te bereiden op scenario’s die de veiligheid van onze samenleving ernstig kunnen bedreigen, zoals terroristische misdrijven, sabotage en natuurrampen. Dit heeft directe gevolgen voor organisaties in de sector gezondheidszorg.

Waar is de CER-richtlijn van toepassing?

De CER-richtlijn zal worden omgezet in nationale wet- en regelgeving en is dan van toepassing op vitale processen in Nederland, zoals de drinkwatervoorziening, energievoorziening en delen van gezondheidszorg. Organisaties die als essentieel worden beschouwd voor het functioneren van maatschappelijke functies en activiteiten, worden aangeduid als 'kritieke entiteiten'. De ministers wijzen op basis van een sectorale risicoanalyse en vooraf vastgestelde criteria organisaties aan. De minister van VWS zal deze kritieke entiteiten in 2025 aanwijzen.

De sector gezondheidszorg onder de CER-richtlijn

Op dit moment beoordeelt het ministerie van VWS welke organisaties tot de sector gezondheidszorg behoren. De CER-richtlijn verdeelt de sector gezondheidszorg in de volgende categorieën:

  • Zorgaanbieders
  • EU-referentielaboratoria
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
  • Entiteiten die medische hulpmiddelen vervaardigen in noodsituaties
  • Entiteiten die houder zijn van een groothandelsvergunning

Wanneer moet je als organisatie voldoen aan de CER-richtlijn?

De CER-richtlijn wordt omgezet in Nederlandse wet, een algemene maatregel van bestuur en vervolgens in een ministeriële regeling. In deze ministeriële regeling zal het ministerie van VWS criteria opnemen op basis waarvan organisaties in de zorg worden aangewezen als kritieke entiteit. Het vaststellen van de criteria in de ministeriële regeling en het vervolgens aanwijzen van organisaties in de zorgsector zal in 2025 plaatsvinden. De organisaties die onder de wet worden aangewezen als kritieke entiteit, worden hiervan schriftelijk op de hoogte gebracht door het ministerie van Volksgezondheid, Welzijn en Sport (VWS). De kritieke entiteiten hebben na aanwijzing 10 maanden om aan de verplichtingen uit de wet te voldoen.

Verantwoordelijkheden van aangewezen kritieke entiteiten

Zorgplicht
Kritieke entiteiten zijn verplicht om een risicobeoordeling uit te voeren. Op basis hiervan dienen zij vervolgens passende maatregelen te treffen om fysieke incidenten te voorkomen, te beperken en te beheersen.

Meldplicht
De CER-richtlijn schrijft voor dat incidenten binnen 24 uur worden gemeld bij de bevoegde autoriteit. Voor de zorg is dit de Inspectie Gezondheidszorg en Jeugd (IGJ) en de minister van Volksgezondheid, Welzijn en Sport (VWS). Het gaat dan om incidenten die de verlening van de essentiële diensten aanzienlijk (kunnen) verstoren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring wordt getroffen, de tijdsduur van een verstoring en het door het incident getroffen geografische gebied en eventuele grensoverschrijdende gevolgen.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de CER-richtlijn in de zorgsector. De entiteiten zijn verplicht om alle medewerking te verlenen aan de IGJ bij de uitoefening van het toezicht.

NIS2-richtlijn
Organisaties die worden aangewezen als kritieke entiteit onder de CER-richtlijn moeten ook voldoen aan de nationale wet- en regelgeving die voortkomt uit de NIS2-richtlijn. NIS staat voor Network and Information Security en heeft betrekking op de digitale weerbaarheid van organisaties.