Besluit van 12 september 2023 tot wijziging van het Besluit beveiliging netwerk- en informatiesystemen, houdende de aanwijzing van andere vitale aanbieders in de sectoren elektriciteit en digitale infrastructuur

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 16 mei 2023, Directie Wetgeving en Juridische Zaken, nr. 4661242, gedaan in overeenstemming met Onze Minister van Economische Zaken en Klimaat en Onze Minister voor Klimaat en Energie;

Gelet op artikel 5, eerste lid, onderdeel b, van de Wet beveiliging netwerk- en informatiesystemen;

De Afdeling advisering van de Raad van State gehoord (advies van 5 juli 2023, nr. W16.23.00122/II);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 5 september 2023, Directie Wetgeving en Juridische Zaken, nr. 4820665, uitgebracht in overeenstemming met Onze Minister van Economische Zaken en Klimaat en Onze Minister voor Klimaat en Energie;

Hebben goedgevonden en verstaan:

ARTIKEL I

Aan het eind van de tabel in artikel 3 van het Besluit beveiliging netwerk- en informatiesystemen worden twee rijen toegevoegd:

Energie: elektriciteit

De exploitant van oplaadpunten als bedoeld in artikel 2, derde lid, van Richtlijn 2014/94/EU, met een totaal opgesteld laadvermogen van minimaal 300 megawatt (300.000 kilowatt)

Het beheer of de exploitatie van oplaadpunten die een laaddienst leveren aan particuliere of zakelijke eindgebruikers, onder meer namens en voor rekening van een aanbieder van mobiliteitsdiensten

Digitale infrastructuur

Een aanbieder van multi-tenant datacenterdiensten waarvan de datacenters een gezamenlijke stroomcapaciteit hebben van meer dan 50 megawatt

Het verlenen van datacenterdiensten

ARTIKEL II

Dit besluit treedt in werking met ingang van 1 oktober 2023.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

’s-Gravenhage, 12 september 2023

Willem-Alexander

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius

Uitgegeven de zesentwintigste september 2023

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius

NOTA VAN TOELICHTING

1. Algemeen

Deze wijziging van het Besluit beveiliging netwerk- en informatiesystemen (Bbni) strekt tot de aanwijzing van aanbieders in de (sub)sectoren elektriciteit en digitale infrastructuur tot zogeheten andere vitale aanbieders als bedoeld in artikel 5, eerste lid, onder b, van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Meer concreet gaat het om de aanwijzing van exploitanten van oplaadpunten en aanbieders van multi-tenant datacenterdiensten.

Elektriciteit – exploitanten van oplaadpunten

De elektrificatie van vervoer en de bijhorende uitrol van laadinfrastructuur krijgt een steeds belangrijkere rol in onze energietransitie naar hernieuwbare energie. Het aantal oplaadpunten in Nederland is ten opzichte van andere EU-landen relatief hoog en zal de komende jaren sterk verder groeien om de snelle toename van met name het aantal elektrische auto’s bij te kunnen houden. Het klimaatakkoord1 stelt tot doel om laadinfrastructuur verder uit te rollen tot 1,8 miljoen oplaadpunten in Nederland in 2030. De verwachte totale laadbehoefte van personenauto’s komt uit op 6.000 gigawattuur (GWh) in 2030.

Met deze uitrol gaan ook risico’s gepaard. Het Europees elektriciteitsnet moet continu in balans zijn voor een ongestoorde levering. Oplaadpunten zullen daar naar verwachting een steeds belangrijkere rol in spelen. Enerzijds bieden zij kansen voor het ondersteunen van netstabiliteit door op basis van vraagrespons de elektriciteitsvraag aan te passen aan het huidige (duurzame) aanbod. Daarnaast maakt bidirectioneel laden het mogelijk om vanuit het aangesloten voertuig elektriciteit terug te leveren aan het elektriciteitsnet wanneer er tekorten zijn (Vehicle to Grid – V2G). Anderzijds kan een verstoring van de goede en voorspelbare werking van de laaddiensten van oplaadpunten de netbalans nu en in de toekomst juist in gevaar brengen, door het grote cumulatief vermogen en bijhorende invloed op de netbalans die de oplaadpunten kunnen hebben. Het plotseling wegvallen van de laadvraag of toenemen van teruglevering door een groot aantal oplaadpunten kan zorgen voor lokale uitval van elektriciteit en uiteindelijk voor instabiliteit op het landelijke of zelfs Europese net. Volgens een recent Berenschot-rapport2 is door de snelle toename van het aantal oplaadpunten en bijhorend vermogen eind 2025 een black out in Nederland mogelijk. Enorme maatschappelijke en economische gevolgen gaan hiermee gepaard. Een black out kost gemiddeld zo’n 4 miljard euro per dag.

De risico’s van een verstoring van de goede werking van oplaadpunten zijn met name gelegen in het goed functioneren van het geheel aan netwerk- en informatiesystemen die deze oplaadfunctie aanstuurt. Hiermee worden zowel de systemen in het oplaadpunt, de communicatie en de backoffice systemen van de Charge Point Operators (hierna: CPO) bedoeld. De beveiliging van deze netwerk- en informatiesystemen is daarmee van groot belang voor de continuïteit van de laaddienst en daarmee ook om risico’s voor de stabiliteit van het elektriciteitsnet te beheersen. De exploitanten van oplaadpunten verlenen dus diensten die behoren tot en van grote invloed kunnen zijn op het vitale proces van de elektriciteitsvoorziening. Hiermee kwalificeren deze aanbieders zich als vitale aanbieder in de zin van artikel 1 van de Wbni.

Overigens wordt in het kader van het vitale belang van de diensten van exploitanten van oplaadpunten erop gewezen dat deze aanbieders onder de reikwijdte van de herziene Europese richtlijn over netwerk- en informatiebeveiliging (hierna: de NIS2-richtlijn) zullen vallen.3

In lijn met bovengenoemd vitaal belang van de dienstverlening van deze aanbieders is het gewenst dat zij incidenten met (mogelijke) aanzienlijke gevolgen voor hun dienstverlening altijd moeten melden aan het Nationaal Cyber Security Centrum (hierna: NCSC). Met die meldingen wordt het NCSC in staat gesteld om getroffen organisaties hulp te verlenen bij het waarborgen of herstellen van de beschikbaarheid en betrouwbaarheid van hun producten of diensten en waar aangewezen ook om andere vitale en rijksoverheidsorganisaties te waarschuwen en te adviseren. Exploitanten van laadpunten worden daarom met dit besluit aangewezen als andere vitale aanbieder als bedoeld in artikel 5, eerste lid, onderdeel b, van de Wbni, waardoor op hen de verplichting om ICT-incidenten te melden bij het NCSC van toepassing is. De aanwijzing ziet op exploitanten van oplaadpunten als bedoeld in artikel 2, derde lid, van Richtlijn 2014/94/EU4, met een totaal opgesteld laadvermogen van minimaal 300 megawatt (MW). Met opgesteld vermogen wordt bedoeld: het cumulatief maximale vermogen van alle oplaadpunten in Nederland die in beheer zijn van de exploitant en waarmee kan worden geladen of ontladen. Voor een drempelwaarde van 300 MW is gekozen omdat bij frequent af- en aanschakelen dit vermogen de balanshandhaving van het elektriciteitsnet kan verstoren.

Digitale infrastructuur – aanbieders van multi-tenant datacenterdiensten

Datacenters vormen een belangrijk deel van de digitale infrastructuur. Een datacenter stelt ruimte en faciliteiten ter beschikking aan derden voor het plaatsen van servers ten behoeve van het internet en andere digitale processen.5 Nederland is een centrale plek geworden voor datacenters in Europa. Aanbieders hebben zich onder meer vanwege de goede connectiviteit in Nederland gevestigd. In datacenters staan servers opgesteld die vele digitale processen bij bedrijven, overheden en organisaties ondersteunen. Het is vaak efficiënter, veiliger en goedkoper voor een bedrijf of organisatie om dit aan een datacenter uit te besteden, in plaats van hier zelf inpandig servers voor op te stellen.

De continuïteit van datacenters wordt van vitaal belang geacht voor het functioneren van de digitale (internet)infrastructuur, en daarmee voor de Nederlandse samenleving. Uit onderzoek blijkt namelijk dat de kans reëel is dat in datacenters langdurige uitval van processen tot maatschappelijke ontwrichting kan leiden.6 Het gaat dan onder meer om datacenters met meerdere gebruikers (multi-tenant of colocatie) die «te groot zijn om te falen». De uitval of verstoring van dergelijke omvangrijke datacenters kan resulteren in cascade-effecten en een langdurige periode van mindere redundantie in Nederland. Minder redundantie betekent een verminderde beschikbaarheid van de digitale infrastructuur. Bij cascade-effecten leidt een verstoring of uitval van een datacenter tot de verstoring van de digitale processen van haar gebruikers en daarmee andere (mogelijk vitale) maatschappelijke en economische processen.

Vanwege het hiervoor genoemde belang van de continuïteit van datacenters is het gewenst dat aanbieders van datacenterdiensten incidenten met (mogelijke) aanzienlijke gevolgen voor hun dienstverlening altijd moeten melden aan het NCSC. Met die meldingen wordt het NCSC in staat gesteld om de getroffen aanbieders hulp te verlenen bij het waarborgen of herstellen van de beschikbaarheid en betrouwbaarheid van hun diensten en waar aangewezen ook om andere vitale aanbieders en rijksoverheidsorganisaties te waarschuwen en te adviseren.

Met het onderhavige besluit worden aanbieders van multi-tenant datacenterdiensten aangewezen als andere vitale aanbieders als bedoeld in artikel 5, eerste lid, onderdeel b, van de Wbni, waardoor op hen de verplichting om ICT-incidenten te melden bij het NCSC van toepassing is. Het gaat om aanbieders van wie de datacenters tezamen een stroomcapaciteit hebben van meer dan 50 MW. Het gaat meer in het bijzonder dus om datacenters met meerdere gebruikers of huurders (multi-tenant of colocatie) en niet om datacenters voor eigen gebruik (single-tenant), zoals een hyperscale datacenter van een groot techbedrijf. Bij single-tenant datacenters is er immers geen sprake van een (datacenter)dienst aan derden. Wanneer een aanbieder meerdere datacenters heeft, dan gaat het om de opgetelde stroomcapaciteit van die datacenters.

Er is gekozen voor een drempelwaarde van 50 MW aansluitcapaciteit. De aansluitcapaciteit van een datacenter is een maat voor het maximale stroomverbruik.7 Alhoewel een omvangscriterium op basis van aansluitcapaciteit ook nadelen heeft, is het een voor aanbieders duidelijk en hanteerbaar criterium. Ook is de aansluitcapaciteit stabieler dan het daadwerkelijke stroomverbruik, dat in de tijd veranderlijker is. Er is gekozen voor een relatief hoge drempelwaarde van 50 MW of meer om daarmee enkel de omvangrijke datacenters als andere vitale aanbieder aan te wijzen. Volgens de brancheorganisatie voor Nederlandse datacenters, de Dutch Datacenter Association, hadden de Nederlandse multi-tenant datacenters in 2022 een gezamenlijke aansluitcapaciteit van 765MW.8 Naar verwachting zijn er in Nederland momenteel drie tot vier multi-tenant datacenters met een aansluitcapaciteit van 50 MW of meer. Een significant lagere drempelwaarde zou ertoe leiden dat ook partijen aangewezen worden die niet als vitaal gezien kunnen worden.9 Bij de keuze voor de drempelwaarde van 50 MW aansluitcapaciteit heeft meegewogen dat dit aansluit op de drempelwaarde (voor relevante invloed in de telecommunicatiesector) in het Besluit ongewenste zeggenschap telecommunicatie.10

NIS2-richtlijn

In de toekomst zullen op de met dit besluit aangewezen andere vitale aanbieders overigens naar verwachting de verplichtingen (zorgplicht, meldplicht) in de nationale wetgeving ter implementatie van de NIS2-richtlijn van toepassing worden. Dit zal naar verwachting in de loop van 2024 het geval zijn. Het is echter nodig om vooruit te lopen op de implementatie vanwege de grote maatschappelijke en economische gevolgen wanneer de dienstverlening van exploitanten van laadpalen en aanbieders van multi-tenant datacenterdiensten uitvalt of wordt verstoord. Voor laadinfrastructuur, maar ook voor datacenters, wordt een snelle toename verwacht in het opgesteld vermogen. Hiermee wordt de impact van eventuele verstoring of uitval snel groter waardoor er geen ruimte is om met de aanwijzing te wachten tot de implementatie van de richtlijn.

2. Consultatie

2.1 Adviescollege toetsing regeldruk

Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor een formeel advies, omdat het naar verwachting geen omvangrijke gevolgen voor de regeldruk heeft.

2.2 Exploitanten van laadpunten

De aan te wijzen exploitanten van oplaadpunten zijn per brief geïnformeerd over de voorgenomen aanwijzing en hebben de mogelijkheid gekregen om te reageren op dit voornemen. Hierop zijn twee reacties gekomen. De eerste reactie ziet op het ontbreken van een drempelwaarde in het ontwerpbesluit voor de verplichting van het melden van incidenten bij het NCSC. Deze drempelwaarde zal in een later stadium wordt vastgesteld in afstemming met de bevoegde autoriteit en na overleg met de sector. De aanbieders zullen per brief worden geïnformeerd over de vastgestelde drempelwaarde. De tweede reactie ziet op een verduidelijking van wat wordt bedoeld met de aanduiding «opgesteld laadvermogen». Met opgesteld vermogen wordt bedoeld: het cumulatief maximale vermogen van alle oplaadpunten in Nederland die in beheer zijn van de exploitant en waarmee kan worden geladen of ontladen. De toelichting op de aanwijzing van exploitanten van oplaadpunten is aangevuld met een toelichting van dit begrip.

2.3 Aanbieders van multi-tenant datacenterdiensten

De voorgenomen aanwijzing van aanbieders van multi-tenant datacenterdiensten is in de markt geconsulteerd. Hierop heeft de Dutch Datacenter Association (de brancheorganisatie van datacenters in Nederland) gereageerd. Deze reactie gaat in op de keuze om grotere aanbieders van datacenterdiensten (vanaf 50 MW aansluitcapaciteit) aan te wijzen. De Dutch Datacenter Association ziet dit voor nu als een manier om een onderverdeling te maken, maar wijst erop dat kritieke IT-infrastructuren verspreid staan over vele honderden datacenters over heel Nederland. Bijvoorbeeld ziekenhuizen, financiële instellingen en energiebedrijven zijn hiervan afhankelijk.

Mijn reactie hierop is als volgt. De aanwijzing in dit besluit ziet vooral op de omvang van datacenters en daarmee de schaal van de potentiële gevolgen bij verstoring of uitval van datacenterdiensten, ongeacht of de gebruikers vitaal of niet-vitaal zijn. Dit is een duidelijk en hanteerbaar criterium. De maatschappelijke of economische gevolgen bij de verstoring of uitval van datacenterdiensten hangen inderdaad ook af van welke digitale processen zij huisvesten. Zo kan een klein datacenter een vitaal proces huisvesten. Het aanwijzen van dergelijke aanbieders is echter complex, omdat hiervoor gedetailleerde, veelal bedrijfsvertrouwelijke informatie nodig is over een potentieel groot aantal aanbieders en hun klanten. Daarbij is de situatie veranderlijk, omdat IT-gebruikers van toeleverancier kunnen veranderen. Verder geldt voor gebruikers in vitale processen (zoals betalingsverkeer of de energievoorziening) veelal de zorgplicht van de Wbni. Zij dienen in de risicoanalyse waar relevant rekening te houden met externe afhankelijkheden van netwerk- en informatiesystemen die betrokken worden van toeleveranciers (van bijvoorbeeld datacenterdiensten) en daarbij af te wegen welke risico’s acceptabel zijn. Om deze redenen is ervoor gekozen de aanwijzing nu te beperken tot (een beperkte groep) aanbieders vanaf een bepaalde omvang. In de toekomst zal de wetgeving van toepassing worden op een grotere groep aanbieders ten gevolge van de NIS2-richtlijn.

2.4 Internetconsultatie

Het is niet de verwachting dat een burger in de internetconsultatie met een dusdanige reactie komt, dat moet worden afgezien van de aanwijzing van exploitanten van laadpunten en aanbieders van multi-tenant datacenterdiensten. Er is daarom afgezien van de internetconsultatie. Deze aanbieders zijn overigens wel geïnformeerd over de voorgenomen aanwijzing en hebben de mogelijkheid gekregen om te reageren op dit voornemen. Zie paragraaf 2.2 en 2.3.

3. Regeldruk

Met de in dit besluit vervatte wijziging van artikel 3 van het Bbni worden exploitanten van laadpunten en aanbieders van multi-tenant datacenterdiensten aangewezen als andere vitale aanbieders. Hierdoor geldt voor hen de verplichting om ICT-incidenten die aanzienlijke gevolgen (kunnen) hebben voor hun dienstverlening te melden bij het NCSC (zie artikel 10, eerste lid, Wbni). Andere verplichtingen uit de Wbni en het Bbni, zoals de zorgplicht als bedoeld in de artikelen 7 en 8 van de Wbni, worden als gevolg van deze aanwijzing niet op hen van toepassing.

De door dit besluit veroorzaakte regeldruk bestaat uit een verantwoorde en beperkte stijging van de administratieve lasten en inhoudelijke nalevingskosten. Voor het verrichten van een melding zal het veelal gaan om handelingen als het verzamelen van informatie, het schriftelijk en eventueel telefonisch doen van een melding bij het NCSC en het eventueel verstrekken van nadere informatie aan het NCSC. De financiële gevolgen hiervan kunnen worden opgevangen binnen de huidige begroting van het NCSC. De meldplicht geldt alleen voor incidenten met (mogelijke) aanzienlijke gevolgen voor de continuïteit van de door de aanbieder verleende dienst. De kosten per aanbieder worden geschat op € 520 per jaar (= 260 minuten gemiddeld per melding x 2 meldingen per jaar x uurtarief van € 60). Hiermee wordt aangesloten bij de geschatte kosten en het geschatte aantal meldingen per aanbieder bij de wijziging van het Bbni van 17 maart 2021 (Stb. 2021, 160). Uitgaande van 12 aanbieders die met dit besluit worden aangewezen, komen de totale regeldrukkosten jaarlijks uit op € 6.240 (12 x € 520 euro).

Ook zijn er als gevolg van dit besluit eenmalige kennisnamekosten. Aanbieders zullen eenmalig tijd moeten besteden aan het verdiepen in en kennisnemen van de Wbni, voor zover het de meldplicht betreft. Organisaties zullen hier naar schatting 8 uur (1 werkdag) voor nodig hebben. Uitgaande van een uurtarief van € 60 komt dit uit op € 480 eenmalige kennisnamekosten per organisatie. Bij 12 aanbieders zouden de totale kosten uitkomen op € 5.760 (12 x € 480 euro).

Dit besluit veroorzaakt geen regeldruk voor burgers of andere organisaties dan die in dit besluit worden aangewezen.

4. Inwerkingtreding

Dit besluit treedt in werking met ingang van 1 oktober 2023. Er wordt afgeweken van de vaste verandermomenten van 1 januari of 1 juli voor algemene maatregelen van bestuur, omdat het van belang is dat deze aanwijzing van andere vitale aanbieders zo snel als mogelijk geschiedt. De door dit besluit geraakte partijen zijn tijdig geïnformeerd over de inwerkingtredingsdatum.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius


X Noot
2

Onderzoeksrapport Impact van cybersecurity risico’s op de nationale laadinfrastructuur, Berenschot (2021). Zie https://www.rijksoverheid.nl/documenten/rapporten/2022/03/22/bijlage-6-rapport-impact-van-cybersecurity-risicos-op-de-nationale-laadinfrastructuur.

X Noot
3

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148.

X Noot
4

Richtlijn 2014/94/EU van het Europees Parlement en de Raad van 22 oktober 2014 betreffende de uitrol van infrastructuur voor alternatieve brandstoffen.

X Noot
5

Aanvullend bieden datacenters soms ook andere diensten aan, zoals connectiviteitsdiensten of het verhuren van servers (hosting).

X Noot
6

Onderzoeksrapport Datacenters vitaal?, Stratix (2020). Zie https://www.rijksoverheid.nl/documenten/rapporten/2020/12/10/datacenters-vitaal.

X Noot
7

Het daadwerkelijke stroomverbruik kan en zal doorgaans lager liggen. De aansluitcapaciteit is dus niet altijd representatief voor het daadwerkelijke gebruik van een datacenter, bijvoorbeeld als een datacenter net gebouwd is. Zie ook het onderzoeksrapport Datacenters vitaal?, Stratix (2020).

X Noot
8

State of the Dutch Datacenters 2022, Dutch Datacenter Association (juni 2022).

X Noot
9

Een substantieel lagere waarde, bijvoorbeeld 5 MW zoals in Duitsland, zou er toe leiden dat bijvoorbeeld ook gamingbedrijven en bitcoin miners meegenomen zouden worden. Zie het onderzoeksrapport Datacenters vitaal?, Stratix (2020).

Naar boven