De Europese Commissie heeft afgelopen week de Network Code for Cybersecurity (NCCS) aangenomen. De netwerkcode over cyberbeveiliging voor de elektriciteitssector regelt het proces van veiligheidsbeoordelingen op de grensoverschrijdende verbindingen. De code hoort bij de komende Europese Cyberwet (NIS2) waarvoor Nederlandse wetgeving in voorbereiding is. De Europese transmissienetbeheerders zijn enthousiast over de netwerkcode maar zien de lange implementatietijd als een punt van zorg.
In maart en april 2022 kreeg de Europese windenergiesector te maken met een reeks digitale aanvallen. Hackers slaagden er in om IT-systemen onklaar te maken, waardoor windmolens niet meer op afstand bediend konden worden. Uiteindelijk bleken niet de windmolens zelf, maar drie toeleveranciers in Duitsland te zijn getroffen. De situatie heeft echter wel geleid tot Kamervragen over de digitale veiligheid van windmolens.
In antwoord daarop citeerde minister Jetten onder meer uit het rapport Cybersecuritybeeld Nederland 2022 van de Rijksoverheid. In dit rapport schrijven de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC) dat de kans op maatschappelijke ontwrichting groot is.
Vervolgens stuurde de minister het Risicoparaatheidsplan Elektriciteit naar de Tweede Kamer. Hierin wordt gesteld dat een cyberaanval op een netbeheerder, grote elektriciteitsproducent of grote industriële stroomverbruiker het meest reële risico vormt op grootschalige stroomuitval in Nederland en de omringende landen. Andere scenario’s waar serieus rekening mee gehouden moet worden zijn extreem weer, een fysieke aanval op kritieke netwerkelementen en uitval van ICT-systemen. In het plan staat onder meer wie welke verantwoordelijkheid heeft op het moment dat een crisissituatie zich voordoet en welke procedures dan in werking treden.
Ten slotte verwees de minister in 2022 naar de ‘Netcode on Cybersecurity’ waaraan in Brussel gewerkt werd, bedoeld als aanvullend pakket aan maatregelen op de aankomende Network and Information Security directive (NIS2), de nieuwe Europese cyberwet.
De nieuwe cyberwet richt zich op het vergroten van de digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten in de EU. De NIS2 is de opvolger van de NIS, die in Nederland in 2019 geïmplementeerd is als de Wbni (Wet Beveiliging Netwerk- en Informatiesystemen). De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment toezichthouder op de naleving van de Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners.
Momenteel wordt de NIS2 door het ministerie van Justitie en Veiligheid (JenV) omgezet naar Nederlandse wetgeving.
De Europese Netwerkcode waar minister Jetten naar verwees is afgelopen week aangenomen door de Europese Commissie. De Network Code for Cybersecurity (NCCS) heeft als doel een terugkerend proces van cyberveiligheidsrisicobeoordelingen in de elektriciteitssector tot stand te brengen en omvat regels voor:
cyberrisicobeoordeling
gemeenschappelijke minimumvereisten
cyberbeveiligingscertificering van producten en diensten
monitoring
rapportage
crisisbeheer
Daarbij geeft de netwerkcode een duidelijke definitie van de rollen en verantwoordelijkheden van de verschillende belanghebbenden voor elke activiteit. De Europese Commissie spreekt van een “belangrijke stap om de cyberweerbaarheid van kritieke energie-infrastructuur en -diensten in de EU te verbeteren.”
De Europese transmissienetbeheerders (ENTSO-E) hebben meegewerkt aan de totstandkoming van de netwerkcode. Ze denken dat deze “een essentiële bijdrage zal leveren aan een veiliger Europees elektriciteitssysteem” maar zien de implementatietijd als een punt van zorg. De Europese Commissie verwacht van de lidstaten dat de maatregelen over 8 jaar zijn geïmplementeerd. Op vragen van ENTSO-E over deze termijn heeft de Europese Commissie geen commentaar gegeven.
De NCCS stelt lidstaten verplicht om een “competente autoriteit” aan te stellen of aan te wijzen die verantwoordelijk wordt voor het toezicht op de uitvoering van de verschillende taken die de code met zich meebrengt. Vooruitlopend daarop komt deze verantwoordelijkheid te liggen bij de nationale toezichthouder op de elektriciteitsmarkt. In Nederland is dat de Autoriteit Consument & Markt (ACM).
ACM heeft intussen aangegeven “niet te beschikken over de middelen en de kennis om de taken uit te voeren die zijn opgedragen aan het bevoegd gezag in de NCCS”. De toezichthouder raadde de Europese Commissie eerder al aan om de codetekst op dit vlak te wijzigen. In de versie die vorige week is gepubliceerd, is dit niet gebeurd.
Het dossier wordt nu voorgelegd aan de Raad en het Europees Parlement om de tekst te bestuderen en de regels zullen in werking treden zodra deze periode voorbij is. De verdere implementatie van de netwerkcode komt te liggen bij het Europees Parlement en bij de Energieraad, waar demissionair minister Jetten namens Nederland zitting in heeft. Beide instanties hebben twee maanden de tijd om bezwaar te maken tegen de NCCS. Daarna volgt de implementatiefase.
Voor de Nederlandse versie van de nieuwe cyberwet is de verwachting dat in mei 2024 de internetconsultatie start: de fase waarin organisaties kunnen reageren op de wetteksten die uit de vertaling van de NIS2-richtlijn voortkomen.
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren. Daarbij wordt onderscheid gemaakt in organisatie die gezien worden als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. De NIS2-richtlijn stelt ook strengere beveiligingsnormen (zorgplicht) en meldingsvereisten (meldplicht) voor incidenten.
Voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de komst van de nieuwe cyberwet heeft de overheid in februari een quickscan gelanceerd. De NIS2-Quickscan is met name bedoeld voor ICT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De quickscan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.