Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 mei 2021

Met deze brief informeer ik u over een stap voor de digitale veiligheid van het elektriciteitssysteem. Digitale veiligheid wordt steeds belangrijker voor het elektriciteitssysteem, gegeven de risico’s en dreigingen die er zijn, zoals onder andere verwoord in het Cybersecuritybeeld Nederland (CSBN 2020).

Op 3 februari 2021 bent u door de Minister van Veiligheid en Justitie geïnformeerd over het cybersecuritystelstel in Nederland1. In Nederland is een belangrijk instrument voor digitale veiligheid de wet beveiliging netwerk en informatiesystemen (Wbni). Het doel van de Wbni is de digitale weerbaarheid van Nederland, in het bijzonder van vitale aanbieders, het Rijk en digitale dienstverleners, te vergroten. De wet is er op gericht om de gevolgen van incidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. De Wbni wijst aanbieders van essentiële diensten aan. Hierdoor vallen deze onder een zorgplicht (om zo risico’s voor de beveiliging van hun ICT-systemen te beheersen) en een meldplicht (bij de toezichthouder, Agentschap Telecom in dit geval en het Nationaal Cyber Security Centrum). Ondanks het korte bestaan van de Wbni, zijn volgens het CSBN 2020 de eerste effecten zichtbaar van een beter inzicht bij toezichthouders in de digitale weerbaarheid van aanbieders van vitale processen.

Voor de elektriciteitssector geldt dat het bestaande vitale proces «Landelijk transport en distributie elektriciteit» sinds 2018 onder de Wbni valt. Dit raakt zowel regionale netbeheerders als de netbeheerder van het landelijk hoogspanningsnet.

Per 1 juni 2021 wordt het bestaande vitale proces uitgebreid naar «Landelijk transport, distributie en productie elektriciteit» op grond van het besluit van 17 maart 2021 tot wijziging van het Besluit beveiliging netwerk- en informatiesystemen binnen de sector elektriciteit voor de essentiële dienst productie van elektriciteit2 3. Concreet betekent dit, dat per 1 juni 2021 elektriciteitsproducenten met een nominaal cumulatief vermogen van meer dan 100 MW worden aangewezen als AED (aanbieder essentiële dienst). Dat betekent dat ze vanaf die datum verplicht zijn om aan de zorg- en meldplicht in de Wbni te voldoen. Het Agentschap Telecom zal hier toezicht op houden. Door de producenten toe te voegen aan het vitale proces zal de algehele digitale veiligheid van het elektriciteitsnet verbeterd worden. Bedrijven in het energiesysteem verbeteren hierdoor de cybersecurity maatregelen en processen. De meld- en zorgplicht bij elektriciteitsproducenten draagt bij aan een gelijk speelveld in het elektriciteitsnet, wat de veiligheid verhoogt van Nederlandse vitale elektriciteitsprocessen.

Deze uitbreiding is in goed overleg met de sector tot stand gekomen. Zo zijn sinds 2019 stakeholder sessies en informatiesessies georganiseerd, in samenwerking met Agentschap Telecom en het Nationaal Cyber Security Centrum. Partijen geven aan dat deze sessies hebben bijgedragen aan een goede voorbereiding op de wetswijziging.

Het verhogen van de digitale weerbaarheid is nogmaals onderstreept in het adviesrapport van de Cyber Security Raad van 6 april jl.4,5 ^.

De Minister van Economische Zaken en Klimaat, B. van ’t Wout