• 13/06/2025

Deze FAQ-pagina is bedoeld om uitleg te geven over de Europese CER-richtlijn (EU-richtlijn 2022/2557), die tot doel heeft de weerbaarheid van kritieke entiteiten en infrastructuren in de EU te versterken tegen uiteenlopende bedreigingen. De richtlijn stelt minimumnormen vast voor alle lidstaten en is van toepassing op diverse sectoren, waaronder de gezondheidszorg, om zo de continuïteit van essentiële diensten beter te waarborgen.

CER, wat is dat concreet?

CER is een Europese richtlijn (EU-richtlijn 2022/2557) die op 27 december 2022 in werking is getreden. Deze richtlijn maakt deel uit van de bredere strategie van de EU om de beveiliging en veerkracht van kritieke entiteiten en hun infrastructuren te versterken tegen verschillende bedreigingen, zoals natuurrampen (inclusief klimaatgerelateerde incidenten), terroristische aanslagen, cyber-/technologische bedreigingen en pandemieën.

Het doel is een gemeenschappelijke minimumnorm vast te stellen voor alle lidstaten om de veerkracht van hun kritieke entiteiten, hun kritieke infrastructuren en hun vermogen om essentiële diensten te leveren, te verbeteren.

Invloed op sectoren

De richtlijn heeft betrekking op verschillende sectoren en subsectoren, waaronder de gezondheidssector. Organisaties waarop de verordening van toepassing is, zijn zorgverleners , EU-referentielaboratoria, entiteiten die zich bezighouden met medisch onderzoek en ontwikkeling, fabrikanten van farmaceutische basisproducten, fabrikanten van kritieke farmaceutische producten en entiteiten die gemachtigd zijn om geneesmiddelen te distribueren. 

Enkele belangrijke definities in deze richtlijn zijn:  

  • Veerkracht: “het vermogen van een kritieke entiteit om een incident te voorkomen, zich ertegen te beschermen, erop te reageren, zich ertegen te verzetten, het te beperken, het te absorberen, het op te vangen en ervan te herstellen”
  • Kritieke entiteit: “een openbare of particuliere entiteit die als zodanig is aangemerkt door de sectorale autoriteit en die behoort tot een van de volgende categorieën”
  • Kritieke infrastructuur: “een bedrijfsmiddel, faciliteit, uitrusting, netwerk of systeem, of een deel van een bedrijfsmiddel, faciliteit, uitrusting, netwerk of systeem, dat nodig is voor de levering van een essentiële dienst”
  • Essentiële dienst: “een dienst die cruciaal is voor het behoud van vitale maatschappelijke functies of economische activiteiten, volksgezondheid en openbare veiligheid, of het milieu” 

De NIS2-richtlijnen hebben ook tot doel de beveiliging en veerkracht van kritieke infrastructuur en diensten binnen de EU te verbeteren, maar zijn in de eerste plaats gericht op cyberbeveiliging en de bescherming van netwerk- en informatiesystemen. Samen bieden deze richtlijnen een uitgebreid kader voor de bescherming van kritieke infrastructuur en diensten in de EU tegen een breed scala van bedreigingen en verstoringen. 

Belang voor jouw organisatie

De CER-richtlijn wil de veerkracht verbeteren van diensten die cruciaal zijn voor het behoud van vitale maatschappelijke functies, economische activiteiten, volksgezondheid en veiligheid. De gezondheidssector wordt zonder twijfel als zodanig gecategoriseerd, aangezien zijn hoofdactiviteiten betrekking hebben op (maar niet beperkt zijn tot) de distributie, productie, levering van gezondheidszorg en medische diensten die van vitaal belang zijn voor elke levende samenleving, evenals de welvaart en veiligheid van haar bevolking.  

Is jouw organisatie een kritieke entiteit?

De sectorale autoriteit, vermoedelijk de Federale Overheidsdienst (FOD) Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu en het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten (FAGG) (te bevestigen in de Belgische wet ), zal de kritieke entiteiten die binnen het toepassingsgebied vallen uiterlijk tegen juli 2026 identificeren. Het zal ook een sectorale risicobeoordeling uitvoeren in termen van veerkracht.  

Enkele belangrijke criteria voor identificatie zijn:

  • De entiteit verleent een of meer essentiële diensten;
  • De entiteit is actief in België en haar kritieke infrastructuur bevindt zich in België;
  • Een incident zou aanzienlijke verstorende effecten hebben op de levering van essentiële diensten of op andere essentiële diensten die afhankelijk zijn van de verstoorde diensten. 

De belangrijkste vereisten voor CER

Als uw organisatie als kritieke entiteit is aangemerkt, moet zij de volgende veerkrachtactiviteiten ontwikkelen:

  • Binnen 9 maanden na ontvangst van de kennisgeving een risicobeoordeling uit te voeren om alle relevante risico's te beoordelen die de levering van hun essentiële diensten zouden kunnen verstoren, met inbegrip van sectorale onderlinge afhankelijkheden;
  • Overeenkomstig de risicobeoordeling weerbaarheidsmaatregelen vast te stellen en een formeel plan te ontwikkelen om deze risico's te beperken;
  • Melding en rapportage in geval van een incident aan de bevoegde autoriteit;
  • Het creëren van een trainingsritme om de efficiëntie van de procedures te testen en het bewustzijn van het personeel over rollen en verantwoordelijkheden. Testen moet minstens jaarlijks gebeuren of vaker als consequente organisatorische veranderingen bevat.

Daarnaast zal de sectorale autoriteit controles uitvoeren op organisaties. Bij niet-naleving zal onderworpen worden aan financiële en administratieve sancties van de regelgevende instantie.

De belangrijkste mijlpalen

Alvorens op naleving te worden gecontroleerd, moet de regering haar strategie voor het vergroten van de veerkracht van uiterlijk in januari 2026 indienen en moeten de sectorale autoriteiten uiterlijk op 17 juli 2026 de kritieke entiteiten identificeren.

Als uw organisatie is aangemerkt als kritieke entiteit, wordt u formeel op de hoogte gebracht door de sectorale autoriteiten en moet u:

  • Binnen 6 maanden na de kennisgeving een lijst verstrekken van de bijbehorende kritieke infrastructuur die de verlening van essentiële diensten ondersteunt.
  • Binnen 9 maanden na de kennisgeving een risicobeoordeling uitvoeren.
  • Binnen 10 maanden na de kennisgeving een weerbaarheidsplan opstellen met maatregelen die worden toegepast in overeenstemming met de geïdentificeerde risico's en de mogelijkheid van veranderingen in omstandigheden.

Entiteiten zullen een voortdurend reguleringstraject doorlopen, aangezien de sectorale autoriteit deze identificatiecyclus zal herhalen wanneer dat nodig is en ten minste om de vier jaar. 

Hoe kan jouw organisatie zich voorbereiden op CER?

Voka-leden die onder de richtlijn vallen, kunnen zich voorbereiden op naleving door verschillende strategische en operationele stappen te nemen, zoals het identificeren van potentiële kritieke infrastructuren, het beoordelen en beheren van huidige en toekomstige risico's en het versterken van huidige maatregelen om geïdentificeerde risico's verder te beperken. Bovendien moeten organisaties een initieel plan ontwikkelen en dit jaarlijks testen op.

Een dergelijke voorbereiding kan worden verbeterd door in contact te treden met sectorale en andere bevoegde autoriteiten om begeleiding en ondersteuning te krijgen en door samen te werken met andere gezondheidsentiteiten om de beste praktijken te delen.

Een ander belangrijk aspect is het creëren van bewustzijn onder belanghebbenden en werknemers door het personeel regelmatig te trainen in risicomanagement en door bewustwordingscampagnes te voeren over de noodzaak en het belang van veerkracht en de maatregelen die worden geïmplementeerd.

Contactpersoon

Joke Van Driessche

Community Manager Voka Health Community

0498 39 72 73 joke.vandriessche@voka.be

Voka nationaal

Voka HC 2025

Ontdek de Voka Health Community

Samen excellent in welzijn & zorg

Meer info
imu - vzw - opt
IMU - vzw - exact
imu - vzw - slimstock
Gent Festival van Vlaanderen
NTX
Logo Van Havermaet Partner Voka Mechelen-Kempen
Motionmakers
Unifiedpost Group partnerlogo
Wiels
Akkodis partner
Bofidi
Voka Kvk Vlaams-Brabant partner Brussels Airport
De barrier - structurele partner voka limburg
Jobat
Soundfield
Deloitte Private
Propaganda
BMW Juma Leuven - Mechelen
Trixxo
KPMG
Alk Reismakers - partner Voka - KvK Limburg
Titeca
propaganda logo limburg
Accent
XL Group
Banque de Luxembourg Belgium
Customer Collective
Deloitte Voka Antwerpen-Waasland
De Ridder
Econopolis
facilicom
GSJ Advocaten
ING
Logo Mensura
Orange
Recrewtment
Logo SD Worx
logo Tormans
Logo Antwerp Port Epic
Deloitte Private
Logo Degroof Petercam Partner Voka Mechelen-Kempen
pfl
Logo VanRoey Parnter Voka Mechelen-Kempen
Belfius
Premed
groep jam