Wetgeving cybersecurity in de energiesector

De NIS2-richtlijn schrijft verplichtingen voor aan maar liefst 18 sectoren. De energiesector staat als eerste sector genoemd en wordt verdeeld in de volgende deelsectoren:

• Elektriciteit
• Stadsverwarming en -koeling
• Aardolie
• Aardgas
• Waterstof

Per deelsector worden diverse entiteiten genoemd. In totaal worden 19 soorten entiteiten aangeven die – wanneer zij voldoen aan Europees rechtelijke definities – kunnen vallen onder de nieuwe cybersecurityverplichtingen van de NIS2.

Beveiligingseisen NIS2-richtlijn

De richtlijn schrijft strengere minimum beveiligingseisen voor. Bijvoorbeeld over incidentenbehandelingen, back-upbeheer, crisisbeheer, beveiligingsaspecten ten aanzien van personeel, toegangsbeleid, het verwerven en onderhouden van informatie en netwerksystemen, en het beveiligen van de toeleveringsketen.

Toeleveringsketen

De NIS2 schrijft voor dat entiteiten die onder de definities van de deelsectoren vallen, rekening houden met specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners.

Gecertificeerde producten

Zo kunnen lidstaten – in het kader van de beveiligingsverplichtingen van de NIS2 – van entiteiten in de energiesector eisen dat van bepaalde gecertificeerde ICT-producten, -diensten en -procedures gebruik wordt gemaakt die aan Europese normen voor cyberveiligheid voldoen.

Dit zijn enkele voorbeelden van de verplichtingen uit de NIS2.

Governance en opleiding

Om ervoor te zorgen dat dit onderwerp ook op het niveau van het bestuur van de ondernemingen wordt gedragen, gelden er straks voor hen diverse verplichtingen. Zo schrijft de NIS2 voor dat zij de beveiligingsmaatregelen voor het beheer van de cyberrisico’s moeten goedkeuren en aansprakelijk moeten kunnen worden gesteld voor inbreuken op de beveiliging.

Om er ook daadwerkelijk voor te zorgen dat zij hiertoe de nodige kennis hebben, zijn zij ook verplicht om een opleiding te volgen om risico’s te kunnen identificeren en cyberveiligheidspraktijken op het gebied van cyberbeveiliging te kunnen beoordelen, en de gevolgen daarvan voor die dienst van hun onderneming.

Schorsen en opschorten

In extreme gevallen maakt de NIS2 het zelfs mogelijk om een certificering of vergunning van een onderneming tijdelijk op te schorten of zelfs een leidinggevende tijdelijk te schorsen.

Meldingsplicht

De NIS2 gaat ook verder in de eisen aan meldingen bij incidenten. Zo wordt er verplicht dat er bij incidenten binnen 24 uur een eerste melding wordt gedaan, binnen 72 uur een tweede, meer gedetailleerde melding en uiterlijk een maand na de tweede melding een eindverslag. Als het incident dan nog loopt, dan moet een voortgangsverslag worden ingediend en uiterlijk een maand na de afhandeling van het incident moet dan alsnog een eindverslag worden ingediend.

Boete

Uiteindelijk kan voor overtreding van de beveiligingsverplichtingen of de meldingsplicht ook een boete worden opgelegd van maximaal 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet.

Wetgevingsproces

De NIS2 moet op 17 oktober 2024 zijn geïmplementeerd in de Nederlandse wet en specifiek in de Wet beveiliging netwerk- en informatiesystemen (Wbni). In deze wet is in 2018 de NIS1 geïmplementeerd. Naar verwachting gaat het wetsvoorstel voor de implementatie van de NIS2 in de herfst van 2023 in consultatie. Wij houden dat uiteraard voor u in de gaten.

Als u meer wilt weten over cybersecurityverplichtingen in de energiesector, neem vooral contact met ons op.