Financiële dienstverleners in het MKB werken dagelijks met gevoelige data, strakke deadlines en een keten van leveranciers. Juist daardoor kan nieuwe regelgeving rond weerbaarheid ineens heel dichtbij komen. De WWKE-wetgeving zet organisaties die essentiële diensten leveren, of daar direct aan bijdragen, aan tot aantoonbare voorbereiding op verstoringen zoals cyberincidenten, technische uitval en fysieke gebeurtenissen.
In dit artikel leggen we uit wat de WWKE is, wanneer je er als MKB’er mee te maken kunt krijgen en hoe je dat praktisch beoordeelt. Je krijgt een checklist, veelgemaakte valkuilen en een haalbaar stappenplan om je organisatie WWKE-proof te maken.
Wat is de WWKE en waarom is die relevant?
De Wet weerbaarheid kritieke entiteiten is de Nederlandse uitwerking van de Europese CER-richtlijn. Het doel is dat organisaties die essentieel zijn voor maatschappij en economie hun operationele weerbaarheid op orde hebben. Denk aan voorbereid zijn op verstoringen, snel kunnen herstellen en incidenten goed kunnen afhandelen.
De wet richt zich op sectoren die essentiële diensten leveren. Overheidsinstanties wijzen kritieke entiteiten aan. Belangrijk voor het MKB in de financiële dienstverlening is de ketenwerking. Ook als je niet zelf als kritieke entiteit wordt aangewezen, kun je toch met eisen te maken krijgen via klanten, auditors en leveranciersafspraken. In de praktijk betekent dit dat continuïteit, risicoanalyse, incidentrespons en aantoonbaarheid steeds vaker contractueel worden afgedwongen.
Wanneer val je onder de WWKE?
De WWKE-scope draait niet alleen om grootte, maar om impact. In de toelichting op de CER en de WWKE wordt expliciet erkend dat ook kleinere organisaties (inter)nationale impact kunnen hebben. Je valt doorgaans onder de WWKE als je formeel wordt aangewezen als kritieke entiteit binnen een sector die onder de wet valt.
Voor het MKB in de financiële hoek zit de nuance vaak in de rol in de keten. Deze criteria helpen bij de eerste inschatting.
| Criteria | Wat het betekent in de praktijk |
|---|---|
| Essentiële dienst of directe ondersteuning | Je levert een dienst die cruciaal is voor de continuïteit van een vitale functie, of je ondersteunt die functie zodanig dat uitval direct effect heeft. |
| Afhankelijkheden en uitbesteding | Je bent afhankelijk van IT-leveranciers, cloud, telecom of ketenpartners. Een verstoring bij hen kan jouw dienstverlening stilleggen. |
| Toegang tot systemen en gevoelige gegevens | Je verwerkt klantdata, hebt beheerrechten of beheert omgevingen waar vertrouwelijkheid en beschikbaarheid cruciaal zijn. |
| Verstoringsimpact | Uitval leidt tot brede gevolgen, bijvoorbeeld langdurige onbeschikbaarheid van dienstverlening of keteneffecten bij klanten. |
Grijze gebieden ontstaan vooral bij hybride rollen. Bijvoorbeeld een administratie- of accountantskantoor dat ook platformdiensten levert, of een IT-partij die diep beheer doet voor partijen die mogelijk wél worden aangewezen. Dan is de vraag niet alleen of jij onder de WWKE valt, maar ook welke WWKE-eisen jouw klanten aan jou gaan doorleggen.
Praktische checklist voor het MKB
Gebruik deze checklist om te bepalen of de WWKE-wetgeving direct of indirect relevant is. Richt je op aantoonbaarheid, want daar landen audits en klantvragen vaak op.
- Zijn wij door een ministerie of toezichthouder aangewezen, of verwachten we dat op basis van onze rol?
- Leveren wij diensten die essentieel zijn voor betalingsverkeer, financiële continuïteit of andere vitale processen bij klanten?
- Welke processen zijn bedrijfskritisch en wat is het effect als die uitvallen?
- Welke IT-leveranciers zijn single points of failure voor onze dienstverlening?
- Hebben leveranciers toegang tot onze omgeving, data of beheeraccounts?
- Is er een actueel overzicht van assets, systemen, accounts en koppelingen?
- Is er een incidentresponsplan, inclusief communicatie- en herstelstappen, ook met derde partijen?
- Kunnen we aantonen dat logging, monitoring en opvolging structureel plaatsvinden?
- Is er een continuïteitsaanpak die verder gaat dan back-ups, inclusief herstelprocedures en testmomenten?
Betrek intern minimaal de directie voor prioriteit en besluitvorming, compliance- of kwaliteitsverantwoordelijken voor beleid en aantoonbaarheid, en IT voor technische maatregelen en leveranciersbeheer. Verzamel documentatie zoals leverancierscontracten, risicoanalyses, incidentprocedures, continuïteitsplannen en een overzicht van kritieke processen.
Veelgemaakte fouten en risico’s
Bij WWKE-voorbereiding gaat het vaak mis op scope en keten. Dit zijn fouten die we in de markt veel terugzien.
- Verkeerde scope. Alleen IT beveiligen, maar processen, mensen en fysieke afhankelijkheden vergeten.
- Onvoldoende leveranciersbeheer. Geen duidelijke afspraken over incidentmelding, ondersteuning en herstel bij verstoringen.
- Gebrek aan logging en monitoring. Wel tools, maar geen structurele opvolging, geen eigenaarschap en geen bewijsvoering.
- Onduidelijke verantwoordelijkheden. Niemand is eindverantwoordelijk voor incidenten, continuïteit en besluitvorming.
- Onbewuste afhankelijkheid van non-EU-partijen. Data, beheer en support lopen via partijen buiten de EU zonder heldere risicoafweging.
De gevolgen zijn zelden alleen juridisch. Denk aan operationele verstoring, reputatieschade, verlies van klantvertrouwen en lastige audits. Juist financiële dienstverleners merken dat klanten sneller doorvragen op ketenrisico’s en aantoonbare beheersing.
Stappenplan om WWKE-proof te worden
Een haalbare aanpak voor organisaties met een compacte IT- en compliancebezetting werkt het best in duidelijke stappen.
- Scope bepalen. Leg vast welke diensten, processen en systemen kritisch zijn en welke ketenpartners daarbij horen.
- Risicoanalyse uitvoeren. Neem cyberrisico’s, technische uitval, fysieke verstoringen en menselijk handelen mee. Koppel risico’s aan concrete maatregelen.
- Beleid en procedures vastleggen. Denk aan toegangsbeheer, wijzigingsbeheer, back-ups, continuïteit en leveranciersmanagement.
- Technische maatregelen implementeren. Focus op de basis op orde: patching, identity, endpointbeveiliging, netwerkbeveiliging en segmentatie waar passend.
- Incidentrespons inregelen. Maak een praktisch plan voor detectie, inperking, herstel en communicatie. Stem dit af met leveranciers die je nodig hebt tijdens incidenten.
- Oefenen en verbeteren. Test herstel, doorloop scenario’s en werk acties bij. Maak het onderdeel van de normale bedrijfsvoering.
- Audits en aantoonbaarheid. Zorg dat je kunt laten zien wat je doet, waarom je het doet en dat opvolging structureel plaatsvindt.
Deze aanpak sluit aan op de kern van de WWKE: proactief weerbaar zijn en niet pas reageren als het misgaat.
Hoe Mr. Blocks helpt met WWKE-compliance
Wij helpen financiële MKB-organisaties WWKE-eisen praktisch te vertalen naar een digitale werkplek die rust geeft en tegelijk aantoonbaar veilig en beheersbaar is. Dat doen we door IT-beheer, security en continuïteit als één samenhangende verantwoordelijkheid te organiseren, zodat je minder ruis hebt en meer grip op risico’s.
- Een veilige en beheerde digitale werkplek die voorspelbaar werkt en standaard is ingericht op veilig werken.
- IT-securitydiensten met managed firewall, continue monitoring en snelle ondersteuning bij signalen en incidenten.
- Endpoint Detection and Response en vulnerability management om afwijkend gedrag en kwetsbaarheden vroeg te zien en op te lossen.
- Logging en monitoring die niet alleen aanstaan, maar ook worden opgevolgd met duidelijke verantwoordelijkheden.
- Documentatie en ondersteuning voor audits, leveranciersvragen en interne besluitvorming rond de WWKE-wetgeving.
- Een IT-fundament dat meegroeit met je organisatie, zodat nieuwe collega’s en veranderingen geen extra risico introduceren.
Wil je weten waar je nu staat en welke stappen het meeste effect hebben voor jouw organisatie? Bekijk wie we zijn of neem direct contact op via onze contactpagina voor een heldere intake.
Veelgestelde vragen
Hoe verhoudt de WWKE zich tot NIS2 en DORA (en moet ik aan alle drie voldoen)?
WWKE gaat over operationele weerbaarheid van kritieke entiteiten (CER). NIS2 richt zich op cybersecuritymaatregelen en meldplichten voor netwerk- en informatiesystemen. DORA is specifiek voor de financiële sector en ICT-risicobeheer (o.a. incidenten, testen en uitbesteding). In de praktijk overlappen thema’s (risicoanalyse, incidentrespons, leveranciersbeheer), maar de scope en toezichthouders verschillen. Maak een ‘requirements-matrix’ per wet/klantvraag en koppel die aan één set interne controls, zodat je niet drie keer hetzelfde proces inricht.
Welke bewijsstukken vragen klanten of auditors meestal als ze ‘WWKE-proof’ willen zien?
Reken op: overzicht kritieke processen en afhankelijkheden, recente risicoanalyse met maatregelen, incidentresponsplan (incl. contactlijst en escalatie), continuïteits- en herstelplan met testresultaten, leveranciersoverzicht met SLA’s en incidentmeldafspraken, logging/monitoring-proces met opvolging (tickets/rapportages), en beleid voor toegangsbeheer en patching. Houd alles versiebeheerbaar en wijs per document een eigenaar aan.
Hoe bepaal ik mijn kritieke processen en hersteldoelen (RTO/RPO) zonder een groot project?
Start met 2 workshops van 60–90 minuten met business en IT. Maak een lijst van diensten die omzet, wettelijke verplichtingen of klantcontinuïteit raken. Bepaal per dienst: maximale acceptabele uitvaltijd (RTO) en maximaal dataverlies (RPO). Valideer dit met je belangrijkste klanten en je IT-leveranciers (wat kunnen zij daadwerkelijk leveren). Leg de uitkomsten vast in één pagina per proces en koppel er concrete herstelstappen aan.
Wat moet ik minimaal contractueel regelen met IT- en cloudleveranciers om ketenrisico’s te beperken?
Leg minimaal vast: incidentmeldtermijnen en communicatiekanalen, beschikbaarheids- en hersteltijden (SLA/RTO), ondersteuning bij forensics en herstel, toegang tot logs/rapportages, patch- en kwetsbaarhedenafhandeling, exit- en migratieafspraken (incl. data-export), subverwerkers/subcontractors, en periodieke evaluatie (QBR). Voeg een ‘right to audit’ of alternatieve assurance (bijv. ISAE/SOC-rapport) toe.
Hoe vaak moet je incidentrespons en herstel testen om aantoonbaar te blijven?
Praktisch minimum: elk halfjaar een tabletop-oefening (scenario doorlopen) en jaarlijks een hersteltest van de belangrijkste systemen (restore + functionele check). Test extra bij grote wijzigingen (nieuwe leverancier, migratie, fusie). Documenteer datum, scenario, bevindingen, acties en opvolging; dat laatste is vaak het belangrijkste bewijs.
Wat zijn snelle ‘no-regret’ maatregelen die bijna altijd WWKE-waarde toevoegen?
Zorg voor MFA overal (zeker admin-accounts), centraal identity- en toegangsbeheer met periodieke review, 3-2-1 back-up met immutability en restore-test, basis patch- en vulnerability management, EDR op endpoints, centrale logging met alerting én opvolging, en een actuele leveranciers- en assetlijst. Dit zijn maatregelen die zowel risico verlagen als auditvragen sneller beantwoorden.
Wat doe ik als ik vermoed dat ik (nog) niet aangewezen ben, maar klanten wel WWKE-eisen doorleggen?
Behandel het als een commerciële en operationele eis: vraag om de concrete control-set of vragenlijst, map die op je huidige maatregelen, en maak een plan met prioriteiten en deadlines. Communiceer transparant wat je al kunt aantonen en waar je een roadmap voor hebt. Overweeg een externe gap-assessment zodat je sneller tot een onderbouwd antwoord en realistische planning komt.
