Consultatie Cyberbeveiligingswet afgerond, Holland Solar wijst op losse eindjes

De nieuwe wet is een vertaling van een Europese richtlijn Network and Information Security (NIS2) die onder meer een einde moet maken aan slecht beveiligde omvormers voor zonnepanelen. In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet. Gelijktijdig met de internetconsultatie van de Cyberbeveiligingswet heeft ook de internetconsultatie van de Wet weerbaarheid kritieke entiteiten plaatsgevonden. Dat is een vertaling van de Europese Critical Entities Resilience Directive (CER-richtlijn) die zich richt op de bescherming van organisaties tegen fysieke dreigingen, zoals de gevolgen van misdrijven, sabotage en natuurrampen.

Gevolgen zonne-energiebedrijven
De nieuwe Cyberbeveiligingswet zal in 2025 in werking treden en regelt onder meer een zorg- en meldplicht voor bedrijven wanneer zij gehackt zijn. Zonne-energiebedrijven, ook kleine, zullen te maken krijgen met de wetgeving.

In de tijdens de internetconsultatie ingediende reactie vraagt Holland Solar om verduidelijking van de criteria die bepalen welke bedrijven onder de nieuwe wet zullen vallen. ‘Het is essentieel dat nadere definities zo snel mogelijk verder worden uitgewerkt en dat de drempelwaarden voor specifieke sectoren helder worden uitgewerkt en gecommuniceerd. Onder andere hoe de totale omzet en het aantal medewerkers berekend moeten worden, kan bepalen of een bedrijf wel of niet direct onder de nieuwe wetgeving valt’, aldus de branchevereniging.

Drempelwaarden
Verder vraagt Holland Solar aandacht voor de drempelwaarden die bepalen wanneer er sprake is van ‘een significant incident’. ‘Deze zullen in nadere regelgeving worden vastgesteld. Het is belangrijk dat hierbij rekening wordt gehouden met verschillen tussen sectoren. Voor zonne-energie is de gedistribueerde aard van opwek een belangrijk aspect waar rekening mee moet worden gehouden. Bijvoorbeeld in het geval van omvormers kunnen de gevolgen per gebruiker bij een incident relatief klein zijn, maar het aantal gebruikers dat wordt geraakt heel groot.’

Hoe hiermee wordt omgegaan, moet nog worden uitgewerkt. Holland Solar doet de suggestie om bijvoorbeeld te kijken naar geraakte opwekcapaciteit – in kilowattuur of kilowattpiek – als criterium.

Firmware-update omvormers
Tot slot merkt Holland Solar op dat de NIS2-richtlijn ruimte overlaat voor interpretatie over of de verantwoordelijkheid voor cyberveiligheid ligt bij de eigenaar, exploitant of andere partijen in de toeleveringsketen. ‘Een duidelijke definitie van verantwoordelijkheden kan bedrijven helpen om voldoende veiligheidsmaatregelen te nemen. Het moet in de Cyberbeveiligingswet of haar implementatieregelingen daarom duidelijk worden gemaakt welke partij welke verantwoordelijkheid draagt. Dat kan bijvoorbeeld zo worden ingericht dat de eigenaar van een zonnepark verantwoordelijk is voor cyberveiligheid. Dit moet ook gelden voor risico’s die voortkomen uit dreigingen en kwetsbaarheden in dienst toeleveringsketen.’

Een concreet voorbeeld is volgens de brancheorganisatie het doorvoeren van firmware-updates bij omvormers, waarbij de verantwoordelijkheden tussen leverancier, operator en eigenaar helder moeten zijn. ‘Hiervoor kan bijvoorbeeld certificering worden vereist van hardware- en softwareleveranciers, zoals ISO 270001.’

Incident
Net als Holland Solar heeft ook Netbeheer Nederland – in dit geval namens de
netbeheerders – een zienswijze ingediend. De koepelorganisatie wil onder meer duidelijkheid over wanneer een voorval als ‘incident' wordt bestempeld.

Een incident is volgens artikel 27 van de Cyberbeveiligingswet namelijk een significant incident als het ‘een ernstige operationele verstoring van de diensten of financiële verliezen (…) veroorzaakt of kan veroorzaken’. Netbeheer Nederland ziet graag verduidelijkt wanneer sprake is van een situatie waarbij een incident een ernstige verstoring kan veroorzaken, dit mede in relatie tot bijna-incidenten en de mogelijkheid om incidenten vrijwillig te melden.

Tijd tekort
Tot slot vreest Energie-Nederland, de brancheorganisatie van energieleveranciers, dat een tekort aan tijd zal ontstaan. ‘Omdat veel details pas in de Algemene Maatregel van Bestuur (AMvB) worden uitgewerkt, wordt de tijdspanne om aan de eisen in de Cyberbeveiligingswet te gaan voldoen zeer krap. Wij pleiten er daarom voor dat de toezichthouders hier rekening mee houden, al dan niet via een overgangsregeling.’

Net als Holland Solar stelt ook de koepel van energiebedrijven dat het voor een aantal partijen nog onduidelijk is of zij wel of niet onder de Cyberbeveiligingswet gaan vallen. ‘De zelfevaluatie biedt hiervoor ook geen soelaas. We zouden graag duidelijkere richtlijnen zien die aangeven welke partijen onder deze wet gaan vallen.’