Resilience = weerbaarheid + veerkracht
De Wet weerbaarheid kritieke entiteiten (Wwke) is de Nederlandse vertaling van de CER (Critical Entities Resilience directive). De wet noemt expliciet het begrip “weerbaarheid”. Maar missen we daarmee niet een belangrijk aspect? Resilience betekent immers ook “veerkracht”. Het lijkt misschien een klein verschil in vertaling. Maar laten we eens wat verder inzoomen op de begrippen weerbaarheid en veerkracht.
De Wet weerbaarheid kritieke entiteiten heeft als doel (kritieke) entiteiten weerbaar te maken tegen “alle relevante natuurlijke en door de mens veroorzaakte risico’s” die tot een incident kunnen leiden en, in het kader van de wet, specifiek in relatie tot de kritieke processen. Vertalen we het Engelse woord “resilience” dan betekent dat in het Nederlands inderdaad “weerbaarheid”. Maar een andere vertaling is: “veerkracht”. Het woord “veerkracht” komt echter in de wet en de bijbehorende memorie van toelichting niet voor. Betekent het dat daar niets aan gedaan hoeft te worden?
De verschillen tussen weerbaarheid en veerkracht
Weerbaarheid | Veerkracht | |
---|---|---|
Scope | Voor kritieke entiteiten verwijst weerbaarheid naar het vermogen om weerstand te bieden aan bedreigingen en storingen. Het gaat om het vermogen om schade te voorkomen of te minimaliseren door proactieve maatregelen. | Voor kritieke entiteiten verwijst veerkracht naar het vermogen om snel en effectief te herstellen van verstoringen of aanvallen en terug te keren naar normale operationele niveaus. |
Focus | Het accent ligt op preventie, beveiliging en bescherming tegen potentiële dreigingen of aanvallen. | De nadruk ligt op herstel, aanpassing en continuïteit van de dienstverlening na een incident. |
Kenmerken | Weerbaarheid omvat maatregelen zoals redundantie, beveiliging, robuuste systemen en preventieve onderhoudsstrategieën. | Veerkracht omvat rampenherstelplannen, flexibele en aanpasbare systemen, snel herstel en herstelstrategieën. |
Voorbeeld voor een eletriciteitsnetwerk | Een weerbaar elektriciteitsnetwerk kan bijvoorbeeld systemen hebben om stroomstoringen te voorkomen, zoals redundante energiebronnen en versterkte transmissielijnen. | Een veerkrachtig elektriciteitsnetwerk zou niet alleen in staat zijn om snel weer online te komen na een storing, maar ook te leren van de storing om toekomstige veerkracht te verbeteren. |
Voorbeeld voor een ziekenhuis | Een weerbaar ziekenhuis treft beveiligingsmaatregelen tegen cyberaanvallen, zorgt voor fysieke beveiliging tegen inbraak en voorraadbeheer om tekorten te voorkomen. | Een veerkrachtig ziekenhuis beschikt over snelle herstelplannen na een cyberaanval, heeft de flexibiliteit om diensten te blijven verlenen tijdens een stroomuitval en adapteert procedures hoe om te gaan met een pandemie. |
Vergeten we de veerkracht niet?
De wet lijkt, in eerste instantie, vooral gericht op weerbaarheid (risicobeoordeling en zorgplicht) en het voorkomen van incidenten en schrijft nauwelijks iets voor met betrekking tot veerkracht na een incident (hooguit dat incidenten gemeld moeten worden maar dat lost het incident niet op). Of we moeten de verplichting, om ook over veerkracht na te denken, afleiden uit de “passende en evenredige technische, beveiligings- en organisatorische maatregelen” die genomen moeten worden om voor weerbaarheid te zorgen. Deze maatregelen zijn immers onderdeel van de zorgplicht die in de wet voorgeschreven wordt.
Maar ook daarin wordt het woord “veerkracht” (en/of maatregelen als redundantie, calamiteiten- en business continuity plannen, etc.) niet expliciet genoemd. Betekent het dan echt dat daar niet over nagedacht hoeft te worden?
Het antwoord is: nee. Want in de memorie van toelichting, die bij de wet hoort, staat in dit kader wel expliciet dat de maatregelen nodig zijn om:
- Te voorkomen dat incidenten zich voordoen (weerbaarheid);
- Te zorgen voor adequate fysieke bescherming van gebouwen en kritieke infrastructuur (weerbaarheid);
- De gevolgen van incidenten te bestrijden (veerkracht);
- Te herstellen van incidenten (veerkracht).
Daaruit valt dus wel degelijk af te leiden dat het doel van de wet zowel weerbaarheid als veerkracht omvat. Het betekent dat naast het (proberen te) voorkomen van incidenten organisaties zich ook moeten voorbereiden om goed om te gaan met incidenten die zich toch voordoen. Jammer alleen dat dit niet duidelijk in de wet verwoord staat en kritieke entiteiten het mogelijk over het hoofd zien.
Het risico
Het risico met vooral een focus op weerbaarheid is dat er met name geprobeerd wordt om maatregelen te treffen waarmee incidenten voorkomen worden (preventie) maar dat organisaties niet goed voorbereid zijn te acteren op incidenten die zich toch voordoen. En, zoals we weten, zijn niet alle incidenten te voorkomen. Daar komt veerkracht van de organisatie om de hoek kijken. Kritieke entiteiten moeten daarom ook naar de memorie van toelichting kijken om aantoonbaar aan de wet te voldoen.
Het betekent zoveel als dat een incident daar waar mogelijk voorkomen moet worden maar ook dat een incident, aan de hand van “alarmsignalen”, zo snel mogelijk ontdekt moet worden (detectie) zodat de opvolging gestart kan worden. Met behulp van de juiste opvolging kan de schade tijdens het incident beperkt worden (repressie) en kan zo snel mogelijk gestart worden met het terugkeren naar de “business as usual” (correctie). Van het incident leren we vervolgens (incidentanalyse) zodat verbeteringen doorgevoerd kunnen om zowel de weerbaarheid als de veerkracht van de organisatie verder te verhogen en beter voorbereid te zijn op incidenten die zich in de toekomst voordoen.
Samenvattend
Weerbaarheid van kritieke entiteiten gaat over het voorkomen en beschermen tegen verstoringen, terwijl veerkracht gaat over het herstellen en doorgaan na verstoringen. Beide zijn essentieel voor de continuïteit en betrouwbaarheid van kritieke infrastructuren en systemen en ze vullen elkaar aan. Het één kan niet zonder het ander om de (vitale) processen te waarborgen. Kritieke entiteiten moeten dus zowel naar de Wet weerbaarheid kritieke entiteiten als naar de memorie van toelichting kijken. Doen ze dat? Dan blijkt dat ze zowel voor een verhoging van de weerbaarheid als een versterking van de veerkracht moeten zorgen.

Mogelijk ook interessant voor je:
Ondersteuning nodig, wil je erover sparren of er meer over weten? Neem gerust contact op, we helpen je graag om aantoonbaar aan de wet te voldoen
Laat je gegevens achter en we nemen contact met je op.