Ga direct naar inhoud

CER-richtlijn

Fysieke weerbaarheid van organisaties in de zorg

De Europese Unie heeft in 2022 de CER-richtlijn (Critical Entities Resilience) aangenomen, die van toepassing is op essentiële processen in Nederland. Deze richtlijn heeft tot doel organisaties – waaronder zorginstellingen – voor te bereiden op scenario’s die de veiligheid van onze samenleving ernstig kunnen bedreigen, zoals terroristische misdrijven, sabotage en natuurrampen. Dit heeft directe gevolgen voor organisaties in de sector gezondheidszorg.

Waar is de CER-richtlijn van toepassing?

De CER-richtlijn is van toepassing op vitale processen in Nederland, zoals de drinkwatervoorziening, energievoorziening en gezondheidszorg. Organisaties die als essentieel worden beschouwd voor het functioneren van maatschappelijke functies en economische activiteiten, worden aangeduid als 'kritieke entiteiten'. Deze aanwijzing gebeurt op basis van een sectorale risicoanalyse en vooraf vastgestelde criteria.

De sector gezondheidszorg onder de CER-richtlijn

Op dit moment beoordeelt het ministerie van VWS welke organisaties tot de sector gezondheidszorg behoren. De CER-richtlijn verdeelt de sector gezondheidszorg in de volgende categorieën:

  • Zorgaanbieders
  • Eu-referentielaboratoria
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
  • Entiteiten die medische hulpmiddelen vervaardigen in noodsituaties
  • Entiteiten die houder zijn van een groothandelsvergunning

Wanneer moet je als organisatie voldoen aan de CER-richtlijn?

De CER-richtlijn wordt omgezet in Nederlandse wet- en regelgeving, waaronder een ministeriële regeling. In deze ministeriële regeling zal het ministerie van VWS criteria opnemen op basis waarvan organisaties in de zorg worden aangewezen als kritieke entiteit. Het vaststellen van de criteria in de ministeriële regeling en het vervolgens aanwijzen van organisaties in de zorgsector zal in 2025 plaatsvinden. De organisaties die onder de wet worden aangewezen als kritieke entiteit, worden hiervan schriftelijk op de hoogte gebracht door het ministerie van Volksgezondheid, Welzijn en Sport (VWS). De  aangewezen kritieke entiteiten hebben vervolgens 10 maanden vanaf het moment van aanwijzing om aan de verplichtingen uit de wet te voldoen.

Verantwoordelijkheden van aangewezen kritieke entiteiten

Zorgplicht
Kritieke entiteiten zijn verplicht om een risicobeoordeling uit te voeren. Op basis hiervan dienen zij vervolgens passende maatregelen te treffen om fysieke risico’s te beperken en incidenten te voorkomen.

Meldplicht
De CER-richtlijn schrijft voor dat incidenten binnen 24 uur worden gemeld bij de toezichthouder in de zorg, de Inspectie Gezondheidszorg en Jeugd (IGJ). Het gaat dan om incidenten die de verlening van de essentiële diensten aanzienlijk (kunnen) verstoren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring wordt getroffen, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de CER-richtlijn in de zorgsector.

NIS2-richtlijn
Organisaties die worden aangewezen als kritieke entiteit onder de CER-richtlijn moeten ook voldoen aan de nationale wet- en regelgeving die voortkomt uit de NIS2-richtlijn. NIS staat voor Network and Information Security en heeft betrekking op de digitale weerbaarheid van organisaties.