Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 december 2022

Met deze brief informeer ik u over een versterking van de digitale veiligheid in het energiesysteem en geef ik invulling aan de toezegging van de Staatssecretaris van Justitie en Veiligheid van 29 november 20221. Zoals vermeld in antwoorden op de Kamervragen van het lid Kathmann 3 november 2021 door de Minister van Justitie en Veiligheid heb ik onderzocht of en zo ja welke bedrijven als beheerders van oliepijpleidingen en/of met productie, opslag, transport, raffinage of behandeling van olie bij ministerieel besluit aangewezen kunnen worden als aanbieders van essentiële diensten (AED)2. Vanwege de ontwikkelingen in de gasmarkt, en de huidige dreiging3, heb ik ook de vitaliteit van gasopslagen onderzocht.

Een belangrijke instrument binnen het huidige cybersecurity beleid is de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het doel van de Wbni is om de digitale weerbaarheid van vitale aanbieders en digitale dienstverleners te vergroten. De wet is er op gericht de gevolgen van incidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. Op basis van de Wbni worden aanbieders van essentiële diensten (AED’s) aangewezen. Door deze aanwijzing valt een aanbieder onder een cybersecurity meld- en zorgplicht waarop Agentschap Telecom (AT) namens de Minister van Economische Zaken en Klimaat toezicht houdt. Daarnaast hebben deze AED’s recht op ondersteuning van het Nationaal Cyber Security Centrum (NCSC), bijvoorbeeld door het verstrekken van dreigingsinformatie betreffende cybersecurity.

Bij het mondelinge vragenuur van 29 november jl. vroeg het lid Rajkowski naar de voorbereidingen op negatieve maatschappelijke gevolgen van een incident als dit zich toch voordoet. De zorgplicht uit de Wbni verplicht AED’s om passende en evenredige technische en organisatorische maatregelen te nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen naar een niveau dat is afgestemd op de risico's die zich voordoen. AED’s zijn ook verplicht passende maatregelen te nemen om ICT-beveiligingsincidenten te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken. Om de gevolgen van incidenten te beheersen zijn er nationale en sectorale crisisplannen in de verschillende domeinen waar een crisis zich kan voordoen4.

Er hebben binnen de energiesector al aanwijzingen van AED’s plaatsgevonden, zoals ook aanbieders van de dienst Transmissie en distributie van elektriciteit en aanbieders van de dienst Productie van elektriciteit.

Olie- en gaslevering is een vitaal proces, omdat het belangrijke processen zijn voor de leveringszekerheid van energie. Aangezien digitale verstoring kan leiden tot grote, ontwrichtende effecten op de economie en maatschappij is het proportioneel om ook binnen deze sectoren AED’s aan te wijzen. De aanwijzingen worden 1 januari 2023 van kracht5.

De entiteiten binnen deze sectoren zijn via de brancheorganisaties geïnformeerd over de voorgenomen aanwijzing en hebben actief gereageerd. Veel partijen zien het nut en het belang van een aanwijzing. Het Adviescollege Toetsing Regeldruk (ATR) heeft positief geadviseerd met aandachtspunten betreffende verdere invulling van de zorgplicht. Zo ziet het ATR een mogelijk risico dat partijen onnodig veel beveiligingsmaatregelen gaan nemen door het bestaan van een open normenkader. Zowel beleidsmatig als vanuit het toezicht door het Agentschap Telecom worden binnen deze wetgeving open normen geprefereerd. Om die reden is verder onderbouwd waarom een open norm de voorkeur heeft. Dit is al eerder op deze manier toegelicht6 en deze lijn is in deze regeling verder aangehouden. Het Agentschap Telecom heeft de regeling als handhaafbaar beoordeeld.

Vitale infrastructuur

Vitale processen zijn processen die bij uitval of verstoring tot ernstige maatschappelijke ontwrichting kunnen leiden. Voorafgaand aan het aanwijzen als aanbieders van essentiële diensten worden de partijen vastgesteld als «vitaal» en de bijbehorende vitale processen worden gewijzigd. De vaststelling van vitale entiteiten past binnen de vitaal methodiek en is een uitbreiding van vitale infrastructuur in de energiesector. De voorgenomen vaststelling van vitale entiteiten heeft geen rechtsgevolgen voor deze partijen, maar wordt gebruikt in crisismethodiek, in security beleid en geeft focus aan veiligheidsdiensten.

Het bestaande vitale proces gas wordt per 1 januari 2023 uitgebreid naar «Gasproductie (incl. gasbehandelingsinstallaties), gasopslag, landelijk en zee transport (incl. conversie) en regionale distributie van gas».

Het bestaande vitale proces aardolie wordt per 1 januari 2023 uitgebreid naar «Productie, opslag, transport, raffinage en behandeling van olie».

Tot slot wordt per 1 januari 2023 het bestaande vitale proces elektriciteit hernoemd naar «Transport, distributie, en productie elektriciteit op land en zee».

De landelijk netbeheerder is als vitaal aangewezen en verantwoordelijk voor het net op land. Daarnaast is de netbeheerder van het net op zee ook vitaal en verantwoordelijk voor het net op zee vanaf het overdrachtspunt (transformatorplatforms) op zee tot en met de transformatorstations op land. Bij het proces horen ook de productie-installaties op zee (zoals windparken). Bijkomend zijn de vergunninghouders van productie-installaties op zee verantwoordelijk voor de verbinding tot het overdrachtspunt, dit is meestal een transformatorplatform. Met deze toelichting en aanpassing van het vitale proces wil ik de scope van eisen aan toeleveranciers in het Ontwikkelkader Windenergie op Zee7 bekrachtigen en duidelijkheid scheppen over het vitale belang van elektriciteitsproductie op de Noordzee en het daarbij horende net op zee.

De Minister voor Klimaat en Energie, R.A.A. Jetten