Regeling van de Minister voor Klimaat en Energie van 17 november 2022, nr. WJZ/ 22082022, tot wijziging van de Regeling aanwijzing aanbieders essentiële diensten EZK in verband met de aanwijzing van dienstverleners in de energiesector

De Minister voor Klimaat en Energie,

Gelet op artikel 2 van het Besluit beveiliging netwerk- en informatiesystemen;

Besluit:

ARTIKEL I

De Regeling aanwijzing aanbieders essentiële diensten EZK wordt als volgt gewijzigd:

A

Onder vernummering van artikel 1 tot artikel 2 wordt een nieuw artikel ingevoegd, luidende:

Artikel 1

In deze regeling wordt verstaan onder:

aardolieproducten:

kerosine, diesel of benzine;

richtlijn 2009/73/EG:

richtlijn (EG) 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG (PbEU 2009, L 211).

B

Aan de tabel in artikel 2 (nieuw) wordt toegevoegd:

Energie: aardolie

Een beheerder of exploitant van een buisleiding als bedoeld in artikel 1 van het Besluit externe veiligheid buisleidingen, die door middel van de volgende pijpleidingen ruwe aardolie of aardolieproducten vervoert:

– van Rotterdam naar Antwerpen,

– van Rotterdam naar Vlissingen,

– van Rotterdam naar het Ruhrgebied in Duitsland, of

– van Amsterdam naar de luchthaven Schiphol.

Beheer van oliepijpleidingen

 

Een exploitant van een raffinaderij met een integratie met een chemische unit op locaties in Pernis, Rotterdam en Vlissingen-Oost

Productie, opslag, transport, raffinage, of behandeling van olie

Een exploitant van een inrichting voor het verwerken van dierlijke of plantaardige oliën of vetten als bedoeld in bijlage 1, onderdeel C, categorie 6, eerste lid, van het B esluit omgevingsrecht

 

Een exploitant van:

– een opslagterminal voor aardolieproducten met een opslag capaciteit van ten minste 600.000 m3, of

– een opslagterminal voor ruwe aardolie met een opslagcapaciteit van ten minste 600.000 m3 ruwe aardolie.

Opslag of behandeling van olie

Energie: gas

Een LNG-bedrijf als bedoeld in artikel 1, eerste lid, onderdeel i, van de Gaswet.

Het vloeibaar maken van aardgas of de invoer, de verlading en de hervergassing van LNG

Een gasopslagbedrijf als bedoeld in artikel 1, eerste lid, onderdeel g, van de Gaswet voor gasopslagen te Bergermeer, Grijpskerk en Alkmaar

Opslag van gas

ARTIKEL II

Deze regeling treedt in werking met ingang van 1 januari 2023.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

's-Gravenhage, 17 november 2022

De Minister voor Klimaat en Energie, R.A.A. Jetten

TOELICHTING

1. Inleiding

In de Regeling aanwijzing aanbieders essentiële diensten EZK (hierna: regeling) zijn aanbieders van essentiële diensten als bedoeld in de zogenoemde NIB-richtlijn van de Europese Unie1 en de Wet beveiliging netwerk- en informatiesystemen (Wbni) in de sector digitale infrastructuur aangewezen. In de toelichting bij die regeling (Stcrt. 2021, 22401) is aangekondigd dat bepaalde mogelijke toekomstige processen in de energiesector tevens aangewezen kunnen worden in de genoemde regeling. Onderhavige regeling strekt tot een aanwijzing van dienstverleners in de aardoliesector en de gassector als aanbieder van een essentiële dienst (AED).

2. Aanleiding

2.1 Sectoren

De deelsectoren aardolie en gas vallen onder de reikwijdte van de verplichtingen van de NIB-richtlijn die zijn geïmplementeerd in de Wbni.

2.1.1 Aardolie

Het grootste deel van energie die vloeit door Nederland bestaat uit aardolie of aardolieproducten. Aardolievoorziening is dan ook een van de vitale processen binnen Nederland. De Nederlandse oliewaardeketen is belangrijk door onder anderen de grote import- en exportfunctie van aardolieproducten. Nederland is hierdoor diep ingebed in de internationale levering van aardolieproducten, wat een groot economisch belang is voor Nederland. Ook binnen Nederland zijn vele sectoren afhankelijk van deze olie of olieproducten zoals de chemische industrie, scheepvaart, luchtvaart, wegtransport en huishoudens.

Nederland kent verschillende processen binnen de oliewaardeketen, namelijk productie, raffinage, opslag en distributie. Een aantal aanbieders van deze processen (transport via buisleidingen, raffinage en het opslaan van aardolie) is zo belangrijk dat er grote negatieve economische, fysieke of sociaal-maatschappelijke gevolgen ontstaan, wanneer deze processen stil komen te liggen door onder anderen cyberaanvallen. Informatie technologie (IT) en operationele technologie (OT) zijn immers nodig om deze processen draaiende te houden en om de oliedienstverlening te kunnen garanderen. Hierdoor is goede beveiliging van deze netwerk- en informatiesystemen van groot belang.

2.1.2 Gas

Binnen de energie sector is gas een belangrijk onderdeel van de Nederlandse energievoorziening. Met name bepaalde gasopslagen en het proces van LNG gasvorming zijn belangrijke processen voor de leveringszekerheid van aardgas aan bedrijven, elektriciteitscentrales en huishoudens. Mede door geopolitieke ontwikkelingen is het belang hiervan alleen maar toegenomen. Ook hier geldt dat IT en OT noodzakelijk zijn voor het aanbieden van deze dienstverlening. Aanbieders van bepaalde gasopslagen en LNG gasvorming dienen hun netwerk- en informatiesystemen te beschermen tegen digitale aanvallen. Digitale aanvallen kunnen verlammend zijn voor deze aanbieders waardoor de leveringszekerheid gas in het geding kan komen.

2.2 Aanwijzing aanbieders essentiële diensten

Om de leveringszekerheid van aardolie en gas te beschermen tegen mogelijke verlammende digitale aanvallen, worden bepaalde dienstverleners in de oliewaardeketen en gassector met deze regeling aangewezen als AED’s in de zin van de Wbni. Zoals eerder benoemd zijn netwerk- en informatie systemen van cruciaal belang voor het aanbieden van hun diensten. Hieronder wordt toegelicht welke aanbieders zijn aangewezen. Onder de gedefinieerde aardolieproducten vallen ook de (wettelijke voorgeschreven) benodigde (bio) componenten voor de productie van de uiteindelijke aardolieproducten benzine, diesel en kerosine.

2.2.1 Beheer van oliepijpleidingen

In Nederland liggen oliepijpleidingen die een cruciale rol vervullen in de oliewaardeketen. Levering van ruwe aardolie en aardolieproducten is noodzakelijk voor bijvoorbeeld grootafnemers en voor doorvoering naar het achterland. Het uitvallen van een buisleiding zorgt voor ontwrichtende leveringsproblemen en kan qua capaciteit bijna onmogelijk worden opgevangen door vrachtwagens, treinen of schepen. Hierdoor worden de beheerders van specifieke buisleidingen aangewezen als zijnde een AED. Het betreft de beheerders of exploitanten van buispijpleidingen, als gedefinieerd in artikel 1 van het Besluit externe veiligheid buisleidingen, die ruwe aardolie of aardolieproducten vervoeren door de transportleidingen die in Nederland de belangrijke functie van levering vervullen. Op dit moment zijn dat de beheerders RAPL (Rotterdam Antwerpen Pijpleiding) voor de pijpleiding van Rotterdam naar Antwerpen, TOPN (Zeeland Refinery) voor de pijpleiding van Rotterdam naar Vlissingen, RRP (Rotterdam Rijn Pijpleiding Maatschappij) voor de pijpleiding van Rotterdam naar het Ruhrgebied in Duitsland, ASP (Amsterdam Schiphol Pijpleiding) voor de pijpleiding van Amsterdam naar Schiphol.

2.2.2 Productie, opslag, transport, raffinage, behandeling van olie

Nederland kent in vergelijking met andere landen in de EU veel raffinaderijen waardoor er veel capaciteit is. Raffinaderijen zijn nodig voor de conversie van ruwe aardolie naar aardolieproducten, waar onder andere de chemische industrie en transportsector afhankelijk van zijn. Exploitanten van raffinaderijen die geïntegreerd zijn met de chemische industrie (bijvoorbeeld chemische krakers) worden als essentieel beschouwd. Dit door hun chemische integratie en geografische ligging, waardoor het gezamenlijk uitvallen van deze specifieke raffinaderijen ontwrichtend kan zijn.

Exploitanten van bio-raffinaderijen vervullen een noodzakelijke rol in het blenden van producten naar benzine en diesel. Blending is wegens klimaatbeleid steeds meer geïntegreerd in de oliewaardeketen. Zeker in de internationale oliehandel, zijn bio-raffinaderijen nodig om dit blendingsproces uit te voeren voor de uiteindelijke bio-olieproducten. Deze rol zal in de toekomst steeds belangrijker worden en op dit moment zullen de economische gevolgen groot zijn als deze raffinaderijen uitvallen. Om deze reden is het passend om exploitanten van bio-raffinage aan te wijzen als aanbieders van essentiële diensten.

2.2.3 Opslag en behandeling van olie

Door opslag en behandeling van aardolie kunnen uiteindelijke aardolieproducten (benzine, diesel, kerosine) worden ontwikkeld en geleverd aan afnemers. In de openbare consultatie van een wijziging van het Besluit beveiliging netwerk- en informatiesystemen (Bbni) gaf de reeds als een AED aangewezene COVA (Stichting Centraal Orgaan Voorraadvorming Aardolieproducten) aan dat het beheer van fysieke opslaglocaties onderdeel is van de stabiliteit van de olievoorziening in de Nederlandse samenleving (Stb. 2021, 160).

Hierdoor is het passend om bedrijven met veel opslagcapaciteit aan te wijzen als aanbieders van essentiële diensten. Het betreft terminals van ruwe aardolie met een opslagcapaciteit van ten minste 600.000 m3 van ruwe aardolie of aardolieproducten. Door deze drempelwaarde worden grote bedrijven die veel olie opslaan in Nederland aangewezen. Deze bedrijven dragen bij aan de leveringszekerheid van aardolieproducten naar het binnenland. De drempelwaarde van 600.000 m3 is in lijn met aanwijzingen zoals gedaan door andere EU-lidstaten. Nederland zit hierbij iets boven de gemiddelde aanwijsdrempel van 500.000 m3. Dit komt mede door de grote hoeveelheid aardolie opgeslagen in Nederland.

2.2.4 Het vloeibaar maken van aardgas of de invoer, de verlading en de hervergassing van LNG

LNG (Liquid Natural Gas) dat aankomt bij een LNG-terminal wordt daar gasvormig gemaakt en vervolgens afgevoerd via het reguliere gastransportnet. Deze dienst garandeert dat geïmporteerd LNG bij eindgebruikers als huishoudens en grootverbruikers kan komen. Deze dienst wordt uitgevoerd door LNG-bedrijven (ook als beheerders van een LNG-terminal aangeduid). In Nederland leveren LNG-beheerders een belangrijke bijdrage aan de leveringszekerheid gas. Deze beheerders worden daarom aangewezen als aanbieder van een essentiële dienst.

2.2.5 Opslag van gas

De activiteit van opslag van gas is essentieel voor het borgen van de leverings- en voorzieningszekerheid van gas voor onder meer Nederlandse huishoudens en bedrijven. Gasopslagen zullen ook in de toekomst een belangrijke rol blijven spelen in het borgen van de leverings- en voorzieningszekerheid. Dit gas is immers van vitaal belang voor het overbruggen van verschillen in zomer- en wintervraag naar gas van bijvoorbeeld huishoudens (warmte, koken, etc), maar ook voor diverse industriële processen. Het betreft hier geen distributeurs of transporteurs van gas, maar gezien het belang dat binnen de vitale processen aan leverings- en voorzieningszekerheid van energie wordt gehecht, is het passend om de beheerders van de grootste en belangrijkste gasopslagen in Nederland als aanbieders van essentiële diensten aan te merken. Deze zijn spelen een belangrijke rol in de leveringszekerheid van gas. Het betreft beheerders van gasopslagen te Alkmaar, Bergermeer, en Grijpskerk.

3. Regeldruk

De door deze regeling veroorzaakte regeldruk bestaat uit een verantwoorde stijging van de administratieve lasten en inhoudelijke nalevingskosten.

3.1 Eenmalige kosten

De aangewezen aanbieders zullen eenmalig tijd besteden aan het verdiepen in en kennisnemen van de Wbni. Organisaties zullen hier naar schatting 16 uur (2 werkdagen) voor nodig hebben. Uitgaande van een uurtarief van € 120 komt dit uit op € 1.920 eenmalige kennisnamekosten per organisatie. Dit uurtarief wordt door de aangewezenen als realistisch gezien.

3.2 Meldplicht

Voor de aangewezenen aanbieders gaat de verplichting gelden om ernstige ICT-incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Justitie en Veiligheid, en bij de sectorale toezichthouder, in dit geval Agentschap Telecom (de bevoegde autoriteit, aangewezen in artikel 4, eerste lid, Wbni), zie artikel 10, eerste, tweede en derde lid, Wbni.

Voor het verrichten van een melding zal het veelal gaan om handelingen als het verzamelen van informatie, het schriftelijk en eventueel telefonisch doen van een melding en het eventueel verstrekken van nadere informatie aan het NCSC en Agentschap Telecom. De meldplicht geldt alleen voor incidenten met aanzienlijke gevolgen voor de continuïteit van de door de aanbieder verleende dienst. De kosten per aanbieder worden geschat op € 1.200,– per jaar (= 300 minuten gemiddeld per melding x 2 meldingen per jaar x uurtarief van € 120,–). Hiermee wordt aangesloten op de berekening zoals toegelicht in de nota van toelichting bij de Bbni-wijziging van 17 maart 2021 (Stb. 2021, 160). Uitgaande van 20 aanbieders die met deze regeling worden aangewezen, zouden de extra regeldruk voortvloeiend uit de meldplicht uitkomen op € 24.000,– jaarlijks voor alle aanbieders aangewezen door deze regeling gezamenlijk.

3.3 Zorgplicht

3.3.1 Eenmalige kosten

Voor de aanbieders zijn de eenmalige (of tijdelijke) kosten voornamelijk de kosten die zij maken om te voldoen aan de beveiligingseisen van de Wbni (artikel 7 en 8) en het Bbni. Denk hierbij aan extra capaciteit en of expertise ten behoeve van de implementatie. Er zullen echter verschillen zitten tussen de aanbieders waardoor de kosten tussen individuele bedrijven zullen verschillen. Sommige aanbieders verwachten nauwelijks investering en sommige verwachten 1 fte stijging om expertise in te schakelen om te voldoen aan de wet. Voor alle AED’s gezamenlijk is dit naar schatting 18 fte (fulltime-equivalenten) extra in de eerste 2 jaar. Uitgaande van een standaard uurtarief van € 120 zijn de kosten hiervan € 4 miljoen voor de eerste twee jaar (€ 2 miljoen per jaar). Daarnaast is er een eenmalige investering noodzakelijk in informatietechnologie (IT) en operationele technologie (OT). Een schatting van de elektriciteitsproducenten (in totaal 20) gezamenlijk in het Bbni betrof een stijging van 4,5 miljoen aan eenmalige investeringen, de eerste twee jaar. Uit gesprekken met de aanbieders wordt geschat dat de bandbreedte van kosten ongeveer zal zijn tussen de € 1 miljoen en € 2 miljoen voor alle aanbieders aangewezen door deze regeling gezamenlijk.

3.3.2 Structurele kosten

Digitale veiligheid is een proces dat blijvend doorlopen moet worden op langere termijn. Zo moeten aangewezenen op langere termijn ook passende technische en organisatorische maatregelen treffen ter beveiliging van hun netwerk- en informatiesystemen. Ook hier zullen de uiteindelijke kosten verschillen tussen de bedrijven. Naar schattingen zullen de AED’s gezamenlijk 9 fte nodig hebben om blijvend te voldoen aan de beveiligingseisen van de Wbni en het Bbni. De kosten hiervan zijn, bij een standaard uurtarief van € 120, circa € 1,9 miljoen per jaar. Daarnaast resulteren de gedane investeringen in IT en OT structureel ook in extra onderhouds- en vervangingskosten. Ook hier zullen de investeringen verschillen tussen de aanbieders. Een schatting van de elektriciteitsproducenten gezamenlijk in het Bbni is dat dit circa € 0,4 miljoen per jaar bedraagt. Deze sectoren zijn vergelijkbaar met elkaar en zullen tot op zekere hoogte een zelfde startpunt hebben voor toezicht. De bandbreedte voor de te verwachten kosten voor alle aanbieders aangewezen door deze regeling gezamenlijk, is tussen € 0,2 en € 0,6 miljoen per jaar.

Ook het te woord staan van de bevoegde autoriteiten, in dit geval Agentschap Telecom in haar rol als toezichthouder, veroorzaakt administratieve lasten voor AED’s. Ook deze werkzaamheden kosten een AED naar schatting 16 uur dus € 1.920, maar dan per jaar.

4. Uitvoerbaarheid en handhaafbaarheid

De conceptregeling is voor een uitvoerings- en handhavingstoets voorgelegd aan Agentschap Telecom (AT). AT acht de regeling, naar haar regelende aard, uitvoerbaar, handhaafbaar en fraudebestendig.

5. Advies en consultatie

5.1 Consultatie

Een eerdere versie van de conceptregeling is opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belanghebbende organisaties. Op basis hiervan zijn enkele wijzigingen in de omschrijving van de sectoren doorgevoerd. Een aantal organisaties merkt op dat enkele omschrijvingen van de hoeveelheid olieproducten per jaar, onvoldoende duidelijk zijn om te bepalen of de regeling op de dienstverlener van toepassing is. De regeling is op dit punt aangepast.

5.2 Advies van het Adviescollege Toetsing Regeldruk

Het Adviescollege Toetsing Regeldruk (ATR) heeft advies uitgebracht. ATR vond de conceptregeling voldoende onderbouwd en verwees naar haar eerdere advies over het conceptbesluit tot wijziging van het Besluit beveiliging netwerk- en informatiesystemen (aanwijzing vitale aanbieders en nadere regels over beveiliging aanbieders van een essentiële dienst) d.d. 28 februari 20202 waarin onder meer de maatregelen zijn beschreven die een AED ten minste moet nemen.

ATR adviseerde om de conceptregeling vast te stellen nadat er rekening is gehouden met de adviespunten.

Deze adviespunten gaan over de werkbaarheid en de uitvoering van de zorgplicht door AED’s. ATR ziet een onzekerheid voor AED’s ontstaan doordat er niet precies duidelijk is welke maatregelen getroffen moeten worden. Hierover adviseert ATR om de beveiligingseisen zoals beschreven in de zorgplicht nader in te vullen en concreter op te schrijven.

Zoals reeds in de reactie van het kabinet op het ATR advies over de wijziging van het Besluit beveiliging netwerk- en informatiesystemen (aanwijzing vitale aanbieders en nadere regels over beveiliging aanbieders van een essentiële dienst)3 is beschreven, is er gekozen voor een invulling van de zorgplicht die de benodigde ruimte laat aan de AED en de toezichthouder om tot een voor de sector passende invulling te komen, en die zo veel mogelijk ruimte laat om aan te sluiten bij bestaande en eventuele nieuwe normenkader. De AED’s zullen daarvoor in contact staan met de toezichthouder. Deze invulling sluit aan bij zowel de gangbare normen op het gebied van informatiebeveiliging en continuïteit als bij de toezichtpraktijk van AT, zijnde systeemtoezicht op basis van open normen. Daarnaast biedt deze invulling haar als toezichthouder de ruimte om aan de voorkant proactief en preventief te interveniëren. Dit laat onverlet dat de AED’s zelf primair verantwoordelijk zijn voor het binnen genoemde wettelijke kaders voldoen aan de zorgplicht door het treffen van concrete maatregelen.'

6. Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 januari 2023, hetgeen in overeenstemming is met het beleid inzake vaste verandermomenten.

Er wordt afgeweken van de minimale invoeringstermijn omdat een spoedige inwerkingtreding van deze regeling aanmerkelijke ongewenste nadelen voor de doelgroep en de samenleving voorkomt. Het belang van gas- en aardolie infrastructuur neemt toe. Sanctiemaatregelen en incidenten laten zien dat de dreiging voor leveringszekerheid reëel is. De overheid dient in het fysieke veiligheid spectrum maar ook het digitale veiligheid spectrum de weerbaarheid te versterken.

Deze afwijkingsmogelijkheid wordt geboden door aanwijzing 4.17, vijfde lid, onderdeel a, van de Aanwijzingen voor de regelgeving. Het is van belang dat de cyberweerbaarheid van genoemde bedrijven zo snel mogelijk wordt verbeterd.

De Minister voor Klimaat en Energie, R.A.A. Jetten


X Noot
1

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194)

X Noot
3

Stb. 2021, 160.

Naar boven