Ervaringen uit de rest van Europa tonen aan dat het energiesysteem een belangrijk doelwit is van (hybride) dreigingen. Deze dreigingen kunnen leiden tot systeemuitval, met verstrekkende gevolgen voor zowel Nederland als voor onze Europese buurlanden. Daarom speelt Energie-Nederland een actieve rol in het bevorderen van de veiligheid van het Nederlandse energiesysteem. Energie-Nederland beantwoordt vijf vragen over dit belangrijke onderwerp.  

1. Wat zijn hybride dreigingen en wat betekenen ze voor ons energiesysteem? 

Spionage, cyberaanvallen of het verspreiden van desinformatie door een statelijke actor zijn voorbeelden van hybride dreigingen. Deze acties zijn vaak klein en leiden doorgaans niet tot grote escalatie. Alhoewel het vaak wel onofficieel bekend is welke statelijke actor de actie heeft geïnitieerd, is het vaak onduidelijk wie de actie heeft uitgevoerd.

Het doel van hybride dreigingen – een combinatie tussen fysieke dreigingen en online dreigingen – is om een samenleving te ondermijnen. Voorbeelden van hybride dreigingen in het energiesysteem zijn het saboteren van de North Stream II en verdachte activiteiten rondom onze onderzeese energie-infrastructuur.  

2. Hoe wordt het Nederlandse energiesysteem beschermd voor deze dreigingen? 

De energiesector werkt intensief samen met de overheid om de weerbaarheid van het energiesysteem. Een aantal belangrijke stappen die recent zijn gezet, zijn de implementatie van de NIS2-Richtlijn en de CER-richtlijn. De NIS2-Richtlijn richt zich op het verbeteren van de netwerk- en informatiebeveiliging en de digitale weerbaarheid van essentiële sectoren binnen de EU. De energiesector is één van deze essentiële sectoren. De NIS2 richtlijn bevat een zorgplicht, waardoor belangrijke en essentiële bedrijven verantwoordelijk worden voor de cyberrisico’s in hun toeleveringsketen. Ook moeten cyberincidenten binnen 24 uur gemeld worden bij het Computer Security Incident Response Team (CSIRT). Dit alles gebeurt onder het toezicht van de Rijksinspectie Digitale Infrastructuur (RDI).  

De RDI ziet ook toe op naleving van de CER-richtlijn, die specifiek gericht is op het beschermen van organisaties tegen fysieke dreigingen. Energiebedrijven moeten onder deze richtlijn inzicht verschaffen in de relevante risico’s waaraan ze worden blootgesteld en zijn verplicht om iedere vier jaar een gedetailleerde risicoanalyse uit te voeren. Dit gebeurt op basis van het risicobeeld dat door de relevante vakdepartementen wordt opgesteld. 

Beide richtlijnen zorgen voor harmonisatie op het gebied van risicobeheersing binnen de EU. Dit leidt tot een hogere weerbaarheid van de samenleving als geheel. 

3. Wat merken huishoudens van deze maatregelen? 

Voor huishoudens verandert er weinig, ondanks de recent geïmplementeerde richtlijnen. De maatregelen die worden genomen, zijn vooral gericht op het versterken van de beveiliging van de digitale en fysieke infrastructuur van de energiesector. Dit draagt bij aan een stabiel en veilig energiesysteem, waarvan huishoudens indirect profiteren doordat de leveringszekerheid van energie beter wordt gewaarborgd. 

4. Wat betekenen deze maatregelen voor energieleveranciers? 

Energiebedrijven krijgen door de NIS2-Richtlijn een zorgplicht opgelegd, waarbij ze verantwoordelijk worden voor kwetsbaarheden in hun hele toeleveringsketen. Ze worden hierin ondersteund door flankerend beleid vanuit de EU, zoals de Radio Equipment Directive 3.3 en de Cyber Resilience Act, die eisen stellen aan de veiligheid van apparaten die worden gebruikt binnen het energiesysteem. 

Bovenstaande regelgeving is relevant voor vrijwel alle sectoren. Voor de elektriciteitssector in het bijzonder is er vanuit Europa ook gewerkt aan de Network Code on Cybersecurity (NCCS). Deze draagt bij aan het verbeteren van de cyberbeveiliging van grensoverschrijdende elektriciteitsnetwerken binnen de EU. De NCCS stelt regels vast die de samenwerking en harmonisatie van cybersecurity binnen de EU bevorderen. Energie-Nederland pleit ervoor om de administratieve lasten van energiebedrijven te verminderen door de NCCS zo goed mogelijk aan te laten sluiten op de Nederlandse Cyberbeveiligingswet.  

5. Hoe is Energie-Nederland betrokken bij verdere ontwikkelingen op het gebied van hybride dreigingen voor het energiesysteem? 

Energie-Nederland volgt relevante ontwikkelingen binnen de Themagroep Security. Vanuit deze groep levert de vereniging position papers en inbreng bij relevante commissiedebatten. Daarnaast zorgen we ervoor dat de belangen en de bijzonderheden van de energiesector worden meegewogen in wet- en regelgeving door te reageren op consultaties en het gesprek aan te gaan met relevante partijen in de sector.