Nationale beveiligingsstrategie en FM

Nederlandse context

De Nationale Veiligheidsstategie (2023) benadrukt de noodzaak van een weerbare samenleving. De NIS2-richtlijn is in 2024 geïmplementeerd via de Cyberbeveiligingswet en verplicht essentiële en belangrijke entiteiten tot maatregelen op het gebied van zowel digitale als fysieke beveiliging. De NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) publiceert het Dreigingsbeeld Terrorisme Nederland dat relevant is voor FM bij hoogrisico-objecten.

Kernbegrippen

NIS2-richtlijn

Europese richtlijn voor netwerk- en informatiebeveiliging die ook eisen stelt aan fysieke beveiliging van essentiële en belangrijke entiteiten.

Vitale infrastructuur

Processen en systemen die zo essentieel zijn dat uitval de nationale veiligheid bedreigt: energie, water, telecom, financiën, transport.

Cyberbeveiligingswet

Nederlandse implementatie van de NIS2-richtlijn. Stelt eisen aan risicobeheersing, incidentmelding en ketensamenwerking voor aangewezen organisaties.

NCTV

Nationaal Coördinator Terrorismebestrijding en Veiligheid — adviseert over dreigingsniveaus en beveiligingsmaatregelen voor Nederlandse organisaties.

Duty of care

De zorgplicht van een organisatie om redelijke maatregelen te nemen ter bescherming van medewerkers, bezoekers en bedrijfsmiddelen.

Wat de wet vereist

De Cyberbeveiligingswet verplicht essentiële en belangrijke entiteiten om passende technische en organisatorische maatregelen te nemen. Artikel 21 van de NIS2-richtlijn noemt expliciet fysieke beveiliging en beveiliging van de omgeving als onderdeel van de vereiste maatregelen. Dit betekent dat facility managers bij deze organisaties verplicht zijn om fysieke beveiligingsmaatregelen aantoonbaar op orde te hebben.

De wet vereist een risicogebaseerde aanpak: organisaties moeten dreigingen en kwetsbaarheden identificeren en proportionele maatregelen treffen. Voor FM betekent dit een actuele risicoanalyse van de fysieke omgeving, een gedocumenteerd beveiligingsplan, werkende toegangscontrole en incident-managementprocedures. Bij een ernstig beveiligingsincident geldt een meldplicht aan de toezichthouder (Rijksinspectie Digitale Infrastructuur).

Ook organisaties die niet onder de NIS2 vallen, hebben een duty of care. De Arbowet verplicht werkgevers om te zorgen voor een veilige werkomgeving. Bij incidenten kan de rechter toetsen of de organisatie redelijke beveiligingsmaatregelen had genomen. De facility manager die fysieke beveiliging structureel verwaarloost, loopt juridische en reputatierisico's. De nationale beveiligingsstrategie is geen abstract overheidsdocument maar een kader dat directe gevolgen heeft voor het dagelijks werk van FM.