Inbreng Holland Solar consultatie Cyberbeveiligingswet

Holland Solar doet een aantal aanbevelingen voor de implementatie van de NIS2-richtlijn in de Cyberbeveiligingswet. Omdat de algemene maatregelen van bestuur nog niet beschikbaar zijn, is er nog onduidelijkheid over veel details. Hieronder wordt daarom, naast aanbevelingen voor de Cyberbeveiligingswet zelf, ook aandacht gevraagd voor een aantal punten die belangrijk zullen zijn bij de verdere implementatie van de Cyberbeveiligingswet in besluiten en regelingen.

1. Om ervoor te zorgen dat bedrijven weten of ze een “essentiële” of “belangrijke” entiteit zijn, is het essentieel dat nadere definities zo snel mogelijk verder worden uitgewerkt en dat de drempelwaarden voor specifieke sectoren helder worden uitgewerkt en gecommuniceerd. Onder andere hoe de totale omzet en het aantal medewerkers berekend moeten worden, kan bepalen of een bedrijf wel of niet direct onder de nieuwe wetgeving valt.

2. In de context van de brede cyberveiligheidsprincipes die door de NIS2 worden vastgesteld, is het belangrijk dat bij de implementatie sectorspecifieke richtlijnen en eisen worden gesteld. Deze zouden moeten gelden voor entiteiten die genoeg capaciteit onder hun controle hebben om het net te verstoren. Om deze entiteiten te identificeren kunnen specifieke drempelwaarden worden vastgesteld op basis van de grootte, topologie en opwek/ gebruikscapaciteit. Dit soort drempelwaarden worden in Australië al toegepast. Nederland zou zelf onderzoek kunnen doen naar welke drempels het net zouden kunnen verstoren en op basis daarvan drempelwaarden voor organisaties moeten bepalen.

3. De drempelwaarden die bepalen wanneer er sprake is van een significant incident zullen in nadere regelgeving worden vastgesteld. Het is belangrijk dat hierbij rekening wordt gehouden met verschillen tussen sectoren. Voor zonne-energie is de gedistribueerde aard van opwek een belangrijk aspect waar rekening mee moet worden gehouden. Bijvoorbeeld in het geval van omvormers kunnen de gevolgen per gebruiker bij een incident relatief klein zijn, maar het aantal gebruikers dat wordt geraakt heel groot. Hoe hiermee wordt omgegaan moet duidelijk worden uitgewerkt in de Cyberbeveiligingswet en verdere besluiten en regelingen. Er kan daarbij bijvoorbeeld worden gekeken naar geraakte opwekcapaciteit (kWh of kWp) als criterium.

4. NIS2 laat ruimte voor interpretatie over of de verantwoordelijkheid voor cyberveiligheid ligt bij de eigenaar, exploitant of andere partijen in de toeleveringsketen. Een duidelijke definitie van verantwoordelijkheden kan bedrijven helpen om voldoende veiligheidsmaatregelen te nemen. Het moet in de Cyberbeveiligingswet of haar implementatieregelingen daarom duidelijk worden gemaakt welke partij welke verantwoordelijkheid draagt. Dat kan bijvoorbeeld zo worden ingericht dat de eigenaar van een zonnepark verantwoordelijk is voor cyberveiligheid. Dit moet ook gelden voor risico’s die voortkomen uit dreigingen en kwetsbaarheden in dienst toeleveringsketen. Een eigenaar is dan verantwoordelijk voor het maken van afspraken met een asset 
manager of operator, en via die partijen met toeleveranciers. Een concreet voorbeeld is het doorvoeren van firmware updates bij omvormers, waarbij de verantwoordelijkheden 
tussen leverancier, operator en eigenaar helder moeten zijn. Hiervoor kan bijvoorbeeld certificering worden vereist van hardware- en softwareleveranciers (zoals ISO 270001). 

5. Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn, maar kunnen door de minister wel als zodanig worden aangewezen. Gezien het grote aantal bedrijven dat in de zonne-energiesector in deze categorie zou kunnen vallen, is het belangrijk dat de sector input kan geven voor de uitwerking van de criteria die worden gebruikt om bedrijven aan te wijzen. Daarna moet het daadwerkelijk aanwijzen van bedrijven helder en zo snel mogelijk worden gecommuniceerd.

6. Van kleine bedrijven die zelf direct onder de nieuwe wet vallen, of die er indirect mee te maken krijgen via hun opdrachtgevers, wordt een vrij hoog maturiteitsniveau gevraagd. Om goed te kunnen voldoen aan deze verwachtingen en verantwoordelijkheden, is ondersteuning vanuit de overheid die specifiek gericht is op de behoeften van kleine bedrijven van groot belang.

7. Bij de implementatie en handhaving van de nieuwe regelgeving is een groot aantal overheidsinstanties betrokken, waaronder verschillende vakministeries, de toezichthouder, en ondersteunende organisaties (waaronder de nationale CSIRT, het NCSC en tot 2026 nog het DTC). Het is voor de uitvoerbaarheid belangrijk dat duidelijkheid wordt gegeven over dit landschap en bedrijven weten welke organisatie hun eerste aanspreekpunt is.

8. Bij het opzetten van de CSIRT-verantwoordelijkheden is het belangrijk dat er voldoende kennis is van de sectoren die onder de CSIRT vallen. Op dit moment is de meeste sectorspecifieke kennis aanwezig bij de vakministeries. Het samenbrengen van alle expertise binnen één nationale CSIRT brengt het risico mee dat zicht op sectorspecifieke uitdagingen minder scherp wordt. Het opzetten van sectorale CSIRTs zou kunnen worden overwogen om dit risico te ondervangen.

9. De voorwaarden waaraan de risicobeoordeling die bedrijven moeten uitvoeren, moeten voldoen, moeten zo sector specifiek mogelijk worden uitgewerkt. Bij voorkeur wordt een 
sectorspecifieke standaard ontwikkeld om uniformiteit en voorspelbaarheid te bevorderen, en te voorkomen dat bedrijven onnodig belast worden.

10. De verplichte jaarlijkse audits moeten risk-based zijn (zie bijvoorbeeld ISO 270001) in plaats van dat zij gelden voor alle activiteiten van een bedrijf. Dit verlicht de last op bedrijven en verbetert de uitvoerbaarheid, door bedrijven in staat te stellen te focussen op bedrijfsonderdelen met significante veiligheidsrisico’s.

11. Er moet een duidelijke certificering komen voor de opleidingsplicht voor bestuursleden zodat bedrijven kunnen beoordelen of een opleiding voldoet. De nieuwe opleidingsverplichting zal de druk op aanbieders van opleidingen sterk vergroten. Er moet daarom voldoende tijd worden gelaten voor bedrijven om aan deze verplichting te voldoen.