https://staging.ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Energie/solar-panel-1393880_1280.png

Wetgeving cybersecurity in de energiesector

19 jun '23

Auteur(s): Hugo van Aardenne

Er komen nieuwe, strengere cybersecurityregels voor de energiesector. En die regels komen uit de NIS2-richtlijn die in december 2022 in Europees verband is afgerond en nu wordt omgezet in Nederlandse wetgeving. Omdat er veel staat te veranderen, brengen wij u graag – op hoofdlijnen – op de hoogte voor wat dit voor de energiesector gaat betekenen.

De NIS2-richtlijn schrijft verplichtingen voor aan maar liefst 18 sectoren. De energiesector staat als eerste sector genoemd en wordt verdeeld in de volgende deelsectoren:

  • Elektriciteit
  • Stadsverwarming en -koeling
  • Aardolie
  • Aardgas
  • Waterstof

Per deelsector worden diverse entiteiten genoemd. In totaal worden 19 soorten entiteiten aangeven die – wanneer zij voldoen aan Europees rechtelijke definities – kunnen vallen onder de nieuwe cybersecurityverplichtingen van de NIS2.

Beveiligingseisen NIS2-richtlijn

De richtlijn schrijft strengere minimum beveiligingseisen voor. Bijvoorbeeld over incidentenbehandelingen, back-upbeheer, crisisbeheer, beveiligingsaspecten ten aanzien van personeel, toegangsbeleid, het verwerven en onderhouden van informatie en netwerksystemen, en het beveiligen van de toeleveringsketen.

Toeleveringsketen

De NIS2 schrijft voor dat entiteiten die onder de definities van de deelsectoren vallen, rekening houden met specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners.

Gecertificeerde producten

Zo kunnen lidstaten – in het kader van de beveiligingsverplichtingen van de NIS2 – van entiteiten in de energiesector eisen dat van bepaalde gecertificeerde ICT-producten, -diensten en -procedures gebruik wordt gemaakt die aan Europese normen voor cyberveiligheid voldoen.

Dit zijn enkele voorbeelden van de verplichtingen uit de NIS2.

Governance en opleiding

Om ervoor te zorgen dat dit onderwerp ook op het niveau van het bestuur van de ondernemingen wordt gedragen, gelden er straks voor hen diverse verplichtingen. Zo schrijft de NIS2 voor dat zij de beveiligingsmaatregelen voor het beheer van de cyberrisico’s moeten goedkeuren en aansprakelijk moeten kunnen worden gesteld voor inbreuken op de beveiliging.

Om er ook daadwerkelijk voor te zorgen dat zij hiertoe de nodige kennis hebben, zijn zij ook verplicht om een opleiding te volgen om risico’s te kunnen identificeren en cyberveiligheidspraktijken op het gebied van cyberbeveiliging te kunnen beoordelen, en de gevolgen daarvan voor die dienst van hun onderneming.

Schorsen en opschorten

In extreme gevallen maakt de NIS2 het zelfs mogelijk om een certificering of vergunning van een onderneming tijdelijk op te schorten of zelfs een leidinggevende tijdelijk te schorsen.

Meldingsplicht

De NIS2 gaat ook verder in de eisen aan meldingen bij incidenten. Zo wordt er verplicht dat er bij incidenten binnen 24 uur een eerste melding wordt gedaan, binnen 72 uur een tweede, meer gedetailleerde melding en uiterlijk een maand na de tweede melding een eindverslag. Als het incident dan nog loopt, dan moet een voortgangsverslag worden ingediend en uiterlijk een maand na de afhandeling van het incident moet dan alsnog een eindverslag worden ingediend.

Boete

Uiteindelijk kan voor overtreding van de beveiligingsverplichtingen of de meldingsplicht ook een boete worden opgelegd van maximaal 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet.

Wetgevingsproces

De NIS2 moet op 17 oktober 2024 zijn geïmplementeerd in de Nederlandse wet en specifiek in de Wet beveiliging netwerk- en informatiesystemen (Wbni). In deze wet is in 2018 de NIS1 geïmplementeerd. Naar verwachting gaat het wetsvoorstel voor de implementatie van de NIS2 in de herfst van 2023 in consultatie. Wij houden dat uiteraard voor u in de gaten.

Als u meer wilt weten over cybersecurityverplichtingen in de energiesector, neem vooral contact met ons op.

Contact

Advocaat

Hugo van Aardenne

Expertises:  Strafrecht, Bestuursrecht, Cybersecurity , Handhaving en sancties, Internationale Sancties en Exportcontrole , Interne onderzoeken,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

{/exp:user:register}

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.