De WWKE-wetgeving komt eraan en raakt organisaties die een essentiële rol spelen in Nederland. Voor het financieel MKB betekent dat vooral één ding: je moet kunnen aantonen dat je dienstverlening blijft draaien, ook als er iets misgaat, zoals een cyberaanval, een grote storing of uitval bij een leverancier. Dat vraagt om duidelijke afspraken, een paar vaste processen en een IT-basis die voorspelbaar en herstelbaar is.
In dit artikel zetten we WWKE in gewone taal op een rij. Je krijgt een helder beeld van wie ermee te maken krijgt, welke verplichtingen je moet regelen, wat dat praktisch betekent voor je IT-omgeving en hoe je het stap voor stap aanpakt.
Wat is WWKE en voor wie geldt het
WWKE staat voor Wet weerbaarheid kritieke entiteiten. Het is de Nederlandse uitwerking van de Europese CER-richtlijn. Het doel is simpel: organisaties die essentieel zijn voor maatschappij en economie moeten weerbaar zijn tegen verstoringen—niet alleen tegen cyberincidenten, maar ook tegen bijvoorbeeld technische storingen, uitval van locaties of problemen in de keten.
De wet richt zich op sectoren die vitale diensten leveren. Denk aan energie, water, transport en ook onderdelen van de financiële keten. Voor het financieel MKB is het belangrijk om te weten dat je niet per se groot hoeft te zijn om impact te hebben. Je kunt in scope komen als je een cruciale schakel bent, of als je diensten levert aan partijen die wél als kritieke entiteit worden aangewezen.
De scope gaat in de praktijk over:
- Diensten die je levert en de processen die daarvoor nodig zijn.
- De data die je verwerkt, inclusief klantgegevens en financiële informatie.
- Afhankelijkheden zoals cloud, internetverbindingen, softwareleveranciers en IT-beheer.
Wat meestal niet onder WWKE valt: gewone interne verbeterprojecten zonder impact op essentiële dienstverlening. Maar let op: als jouw kantoor bijvoorbeeld salarisverwerking, ondersteuning bij betalingsverkeer of kritieke administratieve processen voor veel klanten doet, dan kan de impact alsnog groot zijn.
Welke WWKE-verplichtingen moet je regelen
WWKE draait om aantoonbare weerbaarheid. In de praktijk komt dat neer op een set basisverplichtingen die je op orde moet hebben én moet kunnen laten zien. In bronnen over WWKE wordt nadrukkelijk genoemd dat organisaties na aanwijzing risicoanalyses, continuïteitsplannen en incidentprotocollen moeten opstellen.
| Onderdeel | Wat je moet regelen in gewone taal |
|---|---|
| Governance | Wie is eigenaar van weerbaarheid, wie beslist, wie voert uit en hoe wordt er gerapporteerd. |
| Risicobeoordeling | In kaart brengen wat je kritieke diensten zijn, welke afhankelijkheden je hebt en welke verstoringen realistisch zijn. |
| Beleid en procedures | Vaste werkwijzen voor toegang, wijzigingen, back-ups, leveranciers en noodscenario’s. |
| Incidentaanpak | Incidentrespons met stappen voor herkennen, beperken, oplossen, herstellen en communiceren. |
| Logging en bewijs | Logboeken en rapportages waarmee je kunt aantonen wat er is gebeurd en wat je hebt gedaan. |
| Leveranciers en keten | Afspraken over beschikbaarheid, support, escalatie en wat er gebeurt bij uitval of een security-incident. |
| Training en awareness | Medewerkers weten wat ze moeten doen bij verdachte mails, datalekken en storingen. |
| Documentatie | Alles staat op één plek, is actueel en je kunt het snel opleveren bij controle of audit. |
Wat vraagt WWKE van je IT-omgeving
WWKE wordt vaak gezien als beleid en papierwerk, maar de kern zit in je dagelijkse IT-controls. Je wilt verstoringen voorkomen waar dat kan en snel herstellen als het toch misgaat. Dit zijn de onderdelen die in het financieel MKB bijna altijd aandacht vragen.
- Identity en access. MFA aan voor alle accounts, beheeraccounts extra streng en rechten volgens least privilege.
- Endpoint- en patchmanagement. Werkplekken en servers krijgen updates voorspelbaar en aantoonbaar, inclusief software van derden.
- Back-ups en hersteltesten. Niet alleen back-ups maken, maar ook periodiek terugzetten en vastleggen dat herstel werkt.
- Monitoring en detectie. Signalen van misbruik en storingen worden gezien, opgevolgd en vastgelegd.
- Encryptie en dataclassificatie. Gevoelige data versleuteld en duidelijk welke data extra bescherming nodig heeft.
- Netwerksegmentatie. Belangrijke systemen niet in hetzelfde segment als alles en iedereen.
- Continuïteit en disaster recovery. Een plan dat past bij je kritieke processen, inclusief oefenen en verbeteren.
- Baselines voor M365 en werkplek. Standaardinstellingen voor veilige mail, veilige toegang en gecontroleerd delen.
Veelgemaakte WWKE-fouten in het MKB
Deze fouten zien we vaak bij organisaties die snel willen voldoen, maar daardoor juist risico blijven lopen.
- Te laat starten, waardoor je alleen nog brandjes blust en geen rust hebt voor inrichting en testen.
- Alleen papierwerk maken, zonder technische maatregelen en zonder scenario’s te oefenen.
- Versnipperde tooling, waardoor niemand het totaaloverzicht heeft en bewijsvoering lastig wordt.
- Onduidelijk eigenaarschap, waardoor incidenten blijven liggen of besluiten te laat komen.
- Geen harde leveranciersafspraken over escalatie, herstel en communicatie bij verstoringen.
- Onvoldoende logging, waardoor je achteraf niet kunt reconstrueren wat er is gebeurd.
- Back-ups zonder restoretest, waardoor je pas bij een incident ontdekt dat herstel niet lukt.
- Awareness als eenmalige actie, waardoor gedrag niet structureel verbetert.
De praktische oplossing is consistent: maak één eigenaar verantwoordelijk, standaardiseer je IT-basis, leg afspraken vast met leveranciers en oefen minimaal je belangrijkste scenario’s.
Praktische stappen om WWKE-proof te worden
Een werkbaar plan houdt het klein en concreet. Denk in fases, zodat je snel risico verlaagt en tegelijk bouwt aan aantoonbaarheid.
- In de eerste fase: bepaal je kritieke diensten, maak een overzicht van afhankelijkheden, wijs een eigenaar aan en verzamel bestaande documentatie.
- In de tweede fase: doe een gapanalyse op beleid, incidentaanpak, back-ups, logging en leveranciersafspraken. Voer quick wins door, zoals MFA overal en patchdiscipline.
- In de derde fase: werk je continuïteitsplan uit, test herstel, richt monitoring in en maak een eenvoudige auditmap met bewijsstukken.
Houd bewijsvoering vanaf dag één bij. Denk aan changelogs, incidentregistratie, back-uprapportages, leverancierscontacten en notities van oefeningen. Zo voorkom je dat je later alles moet terugzoeken.
Hoe Mr. Blocks helpt met WWKE-compliance
Wij helpen het financieel MKB om WWKE-wetgeving praktisch te maken. Niet als extra project bovenop je werk, maar als een rustige, voorspelbare manier van werken waarbij security en continuïteit standaard zijn.
- We brengen je huidige situatie in kaart met een heldere gapanalyse en een roadmap die past bij jouw processen.
- We leveren en beheren een veilige digitale werkplek met sterke identity-instellingen, patchmanagement en duidelijke baselines voor M365.
- We versterken je IT-security met managed firewall, continue monitoring, Endpoint Detection and Response en vulnerability management, zodat signalen niet blijven liggen.
- We regelen back-ups, hersteltesten, logging en documentatie, zodat je kunt aantonen wat je doet en waarom.
- We maken leveranciers- en ketenafspraken concreet, inclusief escalatie en ondersteuning bij incidenten.
- We zorgen voor support en vaste communicatie, zodat je team prettig kan doorwerken en weet waar het aan toe is.
Wil je weten waar je nu staat en wat de snelste route is naar aantoonbare WWKE-compliance? Plan een intake via contact of lees meer over onze aanpak op Mr. Blocks.
Veelgestelde vragen
Wanneer weet ik zeker of mijn organisatie onder WWKE valt?
Wacht niet op een formele aanwijzing. Maak intern een snelle ‘scope-check’: (1) welke diensten zijn essentieel voor klanten/keten, (2) wat is de impact bij uitval (financieel, operationeel, maatschappelijk), (3) lever je aan partijen die waarschijnlijk wél als kritieke entiteit worden aangewezen. Leg je conclusie vast en bespreek dit met je brancheorganisatie, jurist of compliance-adviseur zodat je tijdig kunt opschalen als je in scope komt.
Hoe verhoudt WWKE zich tot NIS2 en DORA (en moet ik alles dubbel doen)?
WWKE focust op fysieke en operationele weerbaarheid van kritieke diensten (continuïteit), terwijl NIS2 vooral cyberbeveiliging en meldplichten adresseert en DORA specifiek is voor digitale weerbaarheid in de financiële sector. In de praktijk kun je veel overlap slim hergebruiken: één risicoanalyse, één incidentproces, één leveranciersregister en één set hersteltests. Maak een ‘control-mapping’ zodat bewijsstukken (logs, testresultaten, contracten) voor meerdere kaders bruikbaar zijn.
Welke KPI’s of meetpunten helpen om ‘aantoonbare weerbaarheid’ praktisch te maken?
Kies een kleine set die je maandelijks kunt rapporteren: patchcompliance (% systemen binnen X dagen), MFA-dekking (% accounts), back-upsucces en restoretests (frequentie + slaagpercentage), incidentdoorlooptijd (MTTD/MTTR), beschikbaarheid van kritieke diensten, en status van leveranciers-SLA’s/escalaties. Koppel elke KPI aan een eigenaar en een actie als de norm niet gehaald wordt.
Wat moet er minimaal in leveranciersafspraken staan voor WWKE (cloud/IT-beheer/software)?
Leg minimaal vast: beschikbaarheidsdoelen, supporttijden en escalatieroutes, maximale hersteltijd (RTO) en dataverlies (RPO) waar relevant, meldtermijnen bij incidenten, verantwoordelijkheden bij forensics en communicatie, exit/overdraagbaarheid van data, en het recht op relevante assurance (bijv. SOC2/ISAE) of audit-informatie. Zorg ook voor een actueel contact- en escalatieoverzicht dat je tijdens een incident direct kunt gebruiken.
Hoe vaak moet je back-ups en disaster recovery testen om geloofwaardig te zijn?
Richt je op ritme en bewijs: test voor kritieke systemen minimaal elk kwartaal een restore (bestands- én systeemherstel) en leg resultaten, afwijkingen en verbeteracties vast. Doe daarnaast jaarlijks een grotere scenario-oefening (bijv. ransomware of cloud-uitval) waarin je ook communicatie en besluitvorming meeneemt. Kies testfrequentie op basis van impact: hoe kritieker, hoe vaker.
Wat is een snelle ‘eerste 30 dagen’-aanpak als je nog weinig op orde hebt?
Focus op risicoreductie en basisbewijs: (1) benoem eigenaar + vervanger en maak een lijst met kritieke diensten, (2) zet MFA overal aan en beperk beheerrechten, (3) breng back-ups in kaart en voer direct één restoretest uit, (4) maak een incidentcontactlijst en een simpel stappenplan (wie belt wie, wat log je), (5) inventariseer top-10 leveranciers en leg escalatie/meldafspraken vast. Documenteer alles in één centrale map met datum en verantwoordelijke.
Gerelateerde artikelen
- Hoe bereid je je cybersecurity strategie voor op de toekomst?
- Hoe implementeer je cyber monitoring in je organisatie?
- Hoe rapporteer je cybersecurity incidenten aan autoriteiten?
- Jouw IT-partner bepaalt mede jouw WWKE-risico: dit moet je weten over ketenverantwoordelijkheid
- Welke taken heeft een cybersecurity manager?
