NCSC waarschuwt energiesector: begin op tijd met nationale Cyberbeveiligingswet

Deze wet vereist dat organisaties risicoanalyses uitvoeren, beveiligingsmaatregelen treffen en incidenten melden.

Start op tijd
Met de verdubbeling van ransomware-aanvallen gericht op datadiefstal in het afgelopen jaar, onderstreept het Nationaal Cyber Security Center (NCSC) het belang van een tijdige voorbereiding op de nieuwe nationale wetgeving. Matthijs van Amelsfort, directeur van het NCSC, benadrukt: ‘Begin hier op tijd mee. Het vraagt bewustwording in de gehele organisatie.’

Recente cyberaanvallen bij Clinical Diagnostics en diverse gemeenten tonen volgens het NCSC aan dat niemand immuun is voor digitale dreigingen. De financiële schade, operationele verstoringen en reputatieschade kunnen aanzienlijk zijn. Ondanks deze risico’s wordt bij bijna de helft van de cybercrime-incidenten geen aangifte of melding gedaan, volgens het deelrapport Bedrijfsleven Alert Online 2025.

Europese richtlijn
De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese Network and Information Security Directive 2 (red. NIS2-richtlijn). Deze vervangt straks de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en stelt strengere eisen aan organisaties die als ‘essentieel’ of ‘belangrijk’ worden aangemerkt.

Voor de energiesector, inclusief bedrijven in de energieopslag- en zonne-energiesector, betekent dit een uitbreiding van verantwoordelijkheden. Naast de zorgplicht komt er een meld- en registratieplicht. Bovendien worden bestuurders hoofdelijk aansprakelijk voor tekortkomingen in digitale beveiliging.

Concrete stappen
Het NCSC adviseert organisaties om niet af te wachten maar direct te starten met voorbereidingen. Concrete stappen omvatten het in kaart brengen of de organisatie onder de nieuwe wetgeving valt, het treffen van beveiligingsmaatregelen en het identificeren van verbeterpunten.

De zelfevaluatietool van de Rijksdienst voor Digitale Infrastructuur (RDI) kan hierbij ondersteuning bieden. Daarnaast is registratie via mijn.ncsc.nl aan te raden, al is dit momenteel nog vrijwillig. Na registratie krijgen organisaties toegang tot dienstverlening van het betreffende sectorale Computer Security Incident Response Team (CSIRT).

Voor bedrijven die niet over de juiste kennis beschikken, is het volgens de NCSC verstandig om hulp in te schakelen van een cybersecuritybedrijf. Het onlangs gelanceerde Cbw Control Framework kan bestuurders en chief information security officers (ciso’s) inzicht geven in de huidige situatie en de benodigde stappen richting compliance.

Inspraak mogelijk
Deze week is de internetconsultatie gestart van de ministeriële regelingen die onder de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten vallen. Deze regelingen werken de verplichtingen uit voor bedrijven en specificeren wanneer meldingen moeten worden gedaan.

Organisaties kunnen tot en met 21 december 2025 reageren op de conceptteksten via internetconsultatie.nl. Dit biedt de energiesector een kans om invloed uit te oefenen op de praktische uitwerking van de wet. Van Amelsfort benadrukt dat het uiteindelijk niet alleen gaat om het voldoen aan wetgeving: ‘De kern ligt bij het structureel goed beveiligen van de eigen organisatie, zodat het risico op ernstige verstoringen wordt beperkt en de organisatie operationeel kan blijven.’