Brief regering : Aanwijzen van aanbieders essentiële diensten in de gas- en oliesector ter bevordering van de digitale veiligheid

Nr. 176
BRIEF VAN DE MINISTER VOOR KLIMAAT EN ENERGIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 december 2022

Met deze brief informeer ik u over een versterking van de digitale veiligheid in het
energiesysteem en geef ik invulling aan de toezegging van de Staatssecretaris van
Justitie en Veiligheid van 29 november 20221. Zoals vermeld in antwoorden op de Kamervragen van het lid Kathmann 3 november 2021
door de Minister van Justitie en Veiligheid heb ik onderzocht of en zo ja welke bedrijven
als beheerders van oliepijpleidingen en/of met productie, opslag, transport, raffinage
of behandeling van olie bij ministerieel besluit aangewezen kunnen worden als aanbieders
van essentiële diensten (AED)2. Vanwege de ontwikkelingen in de gasmarkt, en de huidige dreiging3, heb ik ook de vitaliteit van gasopslagen onderzocht.

Een belangrijke instrument binnen het huidige cybersecurity beleid is de Wet beveiliging
netwerk- en informatiesystemen (Wbni). Het doel van de Wbni is om de digitale weerbaarheid
van vitale aanbieders en digitale dienstverleners te vergroten. De wet is er op gericht
de gevolgen van incidenten te beperken en zo maatschappelijke ontwrichting te voorkomen.
Op basis van de Wbni worden aanbieders van essentiële diensten (AED’s) aangewezen.
Door deze aanwijzing valt een aanbieder onder een cybersecurity meld- en zorgplicht
waarop Agentschap Telecom (AT) namens de Minister van Economische Zaken en Klimaat
toezicht houdt. Daarnaast hebben deze AED’s recht op ondersteuning van het Nationaal
Cyber Security Centrum (NCSC), bijvoorbeeld door het verstrekken van dreigingsinformatie
betreffende cybersecurity.

Bij het mondelinge vragenuur van 29 november jl. vroeg het lid Rajkowski naar de voorbereidingen
op negatieve maatschappelijke gevolgen van een incident als dit zich toch voordoet.
De zorgplicht uit de Wbni verplicht AED’s om passende en evenredige technische en
organisatorische maatregelen te nemen om de risico's voor de beveiliging van netwerk-
en informatiesystemen te beheersen naar een niveau dat is afgestemd op de risico's
die zich voordoen. AED’s zijn ook verplicht passende maatregelen te nemen om ICT-beveiligingsincidenten
te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken.
Om de gevolgen van incidenten te beheersen zijn er nationale en sectorale crisisplannen
in de verschillende domeinen waar een crisis zich kan voordoen4.

Er hebben binnen de energiesector al aanwijzingen van AED’s plaatsgevonden, zoals
ook aanbieders van de dienst Transmissie en distributie van elektriciteit en aanbieders
van de dienst Productie van elektriciteit.

Olie- en gaslevering is een vitaal proces, omdat het belangrijke processen zijn voor
de leveringszekerheid van energie. Aangezien digitale verstoring kan leiden tot grote,
ontwrichtende effecten op de economie en maatschappij is het proportioneel om ook
binnen deze sectoren AED’s aan te wijzen. De aanwijzingen worden 1 januari 2023 van
kracht5.

De entiteiten binnen deze sectoren zijn via de brancheorganisaties geïnformeerd over
de voorgenomen aanwijzing en hebben actief gereageerd. Veel partijen zien het nut
en het belang van een aanwijzing. Het Adviescollege Toetsing Regeldruk (ATR) heeft
positief geadviseerd met aandachtspunten betreffende verdere invulling van de zorgplicht.
Zo ziet het ATR een mogelijk risico dat partijen onnodig veel beveiligingsmaatregelen
gaan nemen door het bestaan van een open normenkader. Zowel beleidsmatig als vanuit
het toezicht door het Agentschap Telecom worden binnen deze wetgeving open normen
geprefereerd. Om die reden is verder onderbouwd waarom een open norm de voorkeur heeft.
Dit is al eerder op deze manier toegelicht6 en deze lijn is in deze regeling verder aangehouden. Het Agentschap Telecom heeft
de regeling als handhaafbaar beoordeeld.

Vitale infrastructuur

Vitale processen zijn processen die bij uitval of verstoring tot ernstige maatschappelijke
ontwrichting kunnen leiden. Voorafgaand aan het aanwijzen als aanbieders van essentiële
diensten worden de partijen vastgesteld als «vitaal» en de bijbehorende vitale processen
worden gewijzigd. De vaststelling van vitale entiteiten past binnen de vitaal methodiek
en is een uitbreiding van vitale infrastructuur in de energiesector. De voorgenomen
vaststelling van vitale entiteiten heeft geen rechtsgevolgen voor deze partijen, maar
wordt gebruikt in crisismethodiek, in security beleid en geeft focus aan veiligheidsdiensten.

Het bestaande vitale proces gas wordt per 1 januari 2023 uitgebreid naar «Gasproductie
(incl. gasbehandelingsinstallaties), gasopslag, landelijk en zee transport (incl.
conversie) en regionale distributie van gas».

Het bestaande vitale proces aardolie wordt per 1 januari 2023 uitgebreid naar «Productie,
opslag, transport, raffinage en behandeling van olie».

Tot slot wordt per 1 januari 2023 het bestaande vitale proces elektriciteit hernoemd
naar «Transport, distributie, en productie elektriciteit op land en zee».

De landelijk netbeheerder is als vitaal aangewezen en verantwoordelijk voor het net
op land. Daarnaast is de netbeheerder van het net op zee ook vitaal en verantwoordelijk
voor het net op zee vanaf het overdrachtspunt (transformatorplatforms) op zee tot
en met de transformatorstations op land. Bij het proces horen ook de productie-installaties
op zee (zoals windparken). Bijkomend zijn de vergunninghouders van productie-installaties
op zee verantwoordelijk voor de verbinding tot het overdrachtspunt, dit is meestal
een transformatorplatform. Met deze toelichting en aanpassing van het vitale proces
wil ik de scope van eisen aan toeleveranciers in het Ontwikkelkader Windenergie op
Zee7 bekrachtigen en duidelijkheid scheppen over het vitale belang van elektriciteitsproductie
op de Noordzee en het daarbij horende net op zee.

De Minister voor Klimaat en Energie, R.A.A. Jetten