De eisen voor cyberveiligheid van bedrijven gaan aankomend jaar fors omhoog. Een belangrijk aspect van de nieuwe NIS2-richtlijn is de doorwerking ervan in de toeleveringsketen. Cybersecurity krijgt nog weinig urgente aandacht, terwijl het een groot risico kan zijn. Dringende actie is vereist en wetgeving gaat te traag, waarschuwt Roland van Rijswijk- Deij, professor network security aan de Universiteit Twente. Hij pleit voor maatregelen en het toevoegen van veiligheidseisen in het tenderproces.
Toenemende risico's windindustrie
Sinds de oorlog in Oekraïne is het aantal cyberaanvallen in de energiesector tien- tot twintigmaal zo groot. Offshore windparken zijn kwetsbaar door hun complexe toeleveringsketens en de noodzaak om ze op afstand te bedienen. Vooral bij oudere windparken zijn basale veiligheidsmaatregelen vaak niet genomen. Dat stellen security-experts van Fox-IT en DNV Cyber: Gennady Kreukniet en Christo Butcher in een interview.
Twee fabrikanten van windturbines zijn de afgelopen jaren het slachtoffer geworden van cyberaanvallen. Voor zover bekend was de ransomware gericht op kantoor-IT, niet direct op turbines. Maar om zeker te zijn, zijn mogelijke links tussen kantoor-IT en OT wel direct dichtgezet.
"Windparken zijn kwetsbaar voor cyberaanvallen. Geraffineerde criminelen en -natiestaten zijn vindingrijk en hebben alle middelen om digitaal toe te slaan. Nu Nederland afhankelijker wordt van wind op zee, zijn dringende maatregelen nodig om verstoringen te voorkomen", zegt Roland van Rijswijk-Deij op de website van topsectorenergie.nl.
Volgens van Rijswijk-Deij kan Nederland verstoringen van internet en het energiesysteem op dit moment effectief beperken. Dit zal echter veranderen naarmate Nederland meer afhankelijk is van duurzame elektriciteit. "Naarmate meer elektriciteit decentraal wordt opgewekt zijn er meer mogelijkheden om aan te vallen. Dat maakt beveiliging lastiger. Dit is daarom het juiste moment om meer tegenmaatregelen te nemen"
Te weinig aandacht
Het World Economic Forum (WEF) heeft cybercrime en cyberonveiligheid als grote problemen geduid, voor Nederland en voor de wereld. Uit The Cybersecurity Readiness Index 2024 van cybersecuritybedrijf Cisco blijkt dat slechts 3% van alle bedrijven klaar is voor actuele cyberdreigingen. 71% van de organisaties vallen in de twee minst voorbereide categorieën.
Voor bedrijven staat cybersecurity inmiddels in de top 3 van bedrijfsrisico’s. Cybersecurity is een absolute voorwaarde om Nederland draaiend en veilig te houden, constateert de Cyber Security Raad (CSR).
Naarmate offshore windparken steeds meer in het energiesysteem worden geïntegreerd, neemt de impact van een cyberaanval toe. De potentiële impact van een succesvolle cyberaanval op een offshore windpark kan verstrekkende gevolgen hebben, niet alleen voor het windpark zelf, maar ook voor de samenleving.
"Cybersecurity krijgt nog weinig urgente aandacht bij offshore windprojecten terwijl het een groot risico kan zijn dat aan de voorkant moet worden meegenomen."
Deze boodschap werd naar voren gebracht tijdens WindDay 2024, in de kennissessie 'Startups en mkb voor digitaal weerbare offshore energie', o.l.v. TKI Offshore Energy, met Michel Mulders, kwartiermaker bij FLECS, het Centre of Excellence voor een digitaal weerbaar offshore energiesysteem, Gennady Kreukniet, en Hans van Beek, CEO, Tarucca.
De sprekers wijzen op het grote risico dat aan de voorkant moet worden meegenomen. "De sector moet investeren in digitale veiligheid, anders is het wachten op het moment dat het te laat is en er pas achteraf actie genomen wordt nadat en er een incident plaatsvindt voor dat het te laat is."
Een aantal vraagstukken en aanbevelingen brengt de uitdagingen in kaart:
- Waarom is cybersecurity geen prioriteit?
- De kostenpost/investeringsvraag wordt vaak genegeerd: hoeveel mag veiligheid kosten?
- Welke regelgeving is er en welke moet er komen?
- Nederland werkt nog niet met een set aan regels/wetten die preventief werken over wat de minimale vereisten zouden moeten zijn en wat de rol van de overheid en industrie hierin is. Kijk naar België en Duitsland die hier al verder in zijn.
- Standaardiseren wat nodig zou moeten zijn
Nieuwe cyberbeveiligingswet
Er is intussen Nederlandse wetgeving in de maak die extra cyberweerbaarheid vraagt van bedrijven die belangrijk zijn voor onze samenleving en economie; de Cyberbeveiligingswet .
Deze wordt gemaakt op basis van de nieuwe Europese regels van de European Network and Information Security Directive (NIS2-richtlijn) die in december 2022 in Europees verband is afgerond. Zo’n 10.000 bedrijven krijgen met de aankomende wet te maken.
De nieuwe strengere regels gaan gelden voor alle bedrijven in specifieke sectoren met ten minste vijftig medewerkers en minimaal €10 miljoen omzet. Micro en kleinbedrijven vallen niet onder NIS2. Middelgrote en grote bedrijven wel. De ondergrens voor middelgroot is een jaaromzet van 10 miljoen euro of 50 werknemers.
Ook de overheid, waaronder ook gemeenten, krijgen met de inwerkingtreding van NIS2 te maken met flinke eisen op het gebied van cybersecurity en moeten voldoen aan strengere eisen.
Strenger toezicht
In het kort komt het erop neer dat de opgelegde beveiligingseisen worden aangescherpt, de beveiliging van de hele leveranciersketen moet worden aangepakt, de rapportageverplichtingen worden gestroomlijnd en, als belangrijk sluitstuk, komt er strenger toezicht. Bij sommige partijen zal dat zelfs proactief zijn: ook al is er niets gebeurd, dan nog wordt er gekeken of ze aan de zorgplicht voldoen.
Nieuwe regels voor de energiesector
De NIS2-richtlijn omvat nieuwe, strengere eisen aan de cyberbeveiliging en weerbaarheid van essentiële diensten, zoals de energiesector.
Als gevolg daarvan komen exploitanten van windparken onder toezicht te staan, ze worden verplicht om een risicobeoordeling uit te voeren en krijgen een meldplicht bij incidenten. Onder de NIS2 worden bestuurders persoonlijk aangesproken op cyberveiligheid. Ook bij hun toeleveranciers.
De NIS2-richtlijn schrijft verplichtingen voor aan maar liefst 18 sectoren. De energiesector staat als eerste sector genoemd en wordt verdeeld in de volgende deelsectoren:
- Elektriciteit
- Stadsverwarming en -koeling
- Aardolie
- Aardgas
- Waterstof
Risico’s in de hele keten
Een belangrijk aspect van de NIS2-richtlijn is de doorwerking ervan in de toeleveringsketen. Hoewel organisaties mogelijk niet actief zijn in een essentiële of belangrijke sector, kunnen ze toch te maken krijgen met de impact van de NIS2 via hun klanten of leveranciers. Nu bedrijven digitaal sterk verbonden zijn, kan een cybersecurityprobleem bij een kleine leverancier gevolgen hebben voor de hele keten.
De nieuwe regels dwingen grote bedrijven daarom meer verantwoordelijkheid te nemen voor hun toeleveranciers. Ze moeten hen helpen, bijvoorbeeld door hun kennis te delen. Juist die kleinere bedrijven blijven achter als het gaat om cyberveilig werken, zegt CSR-lid Claudia de Andrade, bij Havenbedrijf Rotterdam verantwoordelijk voor de IT, in dit artikel in het FD.
Overzicht op supply chain
Bij nieuwe windparken gaan exploitanten bewuster met veiligheid om, merkt Butcher. "Maar dat geldt niet in de hele keten van toeleveranciers. Die keten is lang en complex. Leveranciers weten niet altijd hoe ze hun apparaten veilig moeten houden. Vooral kleine start-ups zijn al blij als hun product werkt. Dat is een probleem in de hele industrie, niet alleen bij offshore wind. Dat los je alleen op samen met toeleveranciers."
Van Rijswijk-Deij legt uit dat de kwetsbaarheid van duurzame bedrijven toeneemt als iedereen dezelfde systemen gaat gebruiken. "De markt voor windturbines is diverser dan die voor zonnepanelen, maar als iedereen dezelfde toeleverancier heeft, kan een aanval op een onderdeel toch grote impact hebben. Een gemotiveerde aanvaller zoekt dit uit."
Hij ziet dan ook als eerste, meest dringende actie om de ketenafhankelijkheden goed in kaart te brengen voor een scherpe risico-inventarisatie.
"Bij windparken zijn veel partijen betrokken, van start-ups tot venture capitalists, van staalleveranciers tot data-analisten, en van ecologen tot kleine rederijen voor onderhoudsschepen. Ze zijn allemaal met elkaar verbonden, maar niemand heeft een overzicht van alle beveiligingsmaatregelen.
Je moet weten waar de kwetsbaarheden zitten en wat de gevolgen zijn als er iets mis gaat. We moeten daar echt snel grip op krijgen. Dat beeld is nooit compleet. Je moet het steeds bijwerken als je nieuwe dingen leert."
Beveiligingseisen opleggen
Alle leveranciers moeten hun beveiliging op orde hebben. Als tweede stap dienen er volgens Van Rijswijk-Deij dus beveiligingseisen opgelegd te worden. Dat kan volgens hem echter niet wettelijk worden voorgeschreven. "Dat is te langzaam. Dit moet worden meegenomen in het aanbestedingsproces voor windparken."
Gezien de forse opschaling van windenergie op zee in Nederland beschouwt hij dit als de tweede urgente actie.
Gezamenlijke aanpak
Een passend antwoord moet niet alleen gaan over de technische barrières die we moeten opwerpen, maar ook over een gezamenlijke ambitie, zegt Van Rijswijk-Deij. "Industrie, overheid en wetenschappelijke organisaties spelen allemaal een rol bij het proactief verdedigen van onze energievoorziening. Aangevallen worden betekent niet alleen dat je de energie verliest om onze samenleving te laten functioneren, maar ook dat je je reputatie verliest. Windparken kunnen sneller worden hersteld dan een reputatie."
Meer stappen zouden volgens Van Rijswijk-Deij nu al in samenwerking met elkaar gemaakt kunnen worden. "Cyberaanvallen zijn een collectief probleem en iedereen heeft belang bij een oplossing. Daarom moeten er afspraken worden gemaakt over het gebruik van gegevens. We hebben alle partijen in de sector nodig."
Doel is om te streven naar een proactief veerkrachtig offshore energiesysteem. Dit vereist het bundelen van de krachten en expertise.
Hiertoe is FLECS geïnitieerd.
FLECS staat voor Fieldlab Energy Cyber Security. Dit is een expertisecentrum waar overheden, kennisinstellingen en marktpartijen gezamenlijk kennis, innovatie en testen ontwikkelen en stimuleren om te komen tot een digitaal weerbaar energiesysteem op de Noordzee.
NedZero
Branchespecialist Veiligheid & Gezondheid en IMVO bij NedZero, Richard Brakenhoff volgt de ontwikkelingen met betrekking tot NIS2 op de voet. Hij is ook aangesloten bij de bijeenkomsten samen met Rijkswaterstaat en TKI Offshore over het kennis- en expertisecentrum FLECS.
NedZero bespreekt de urgentie van cybersecuritybeveiliging met haar leden via de commissies en werkgroepen.
Meer informatie is te vinden via:
- Het Nationaal Cyber Centrum (NCSC). Dit centrum adviseert de Rijksoverheid over het digitaal veiliger maken van Nederland. Ook biedt het NCSC analyses, (gratis) kennisproducten en onderzoeken.
- Het Digital Trust Center biedt een platform om vragen uit te wisselen in de speciale NIS2 themaruimte op de DTC Community.
- Leer hier meer over de aankomende Cyberbeveiligingswet.
- Lees hier meer over de Consultatie van de overheid over de nieuwe cyberbeveilingswet
- Meer over meldplicht en zorgplicht is hier te vinden.
- Lees ook: Nieuwe netwerkcode cybersecurity voor de EU-elektriciteitssector - NedZero
Het wetgevingsproces
Eind januari 2024 maakte de minister van Justitie en Veiligheid in een Kamerbrief bekend dat de Nederlandse uitwerking van de Europese NIS2-richtlijn vertraging heeft opgelopen. De implementatie had op 17 oktober klaar moeten zijn, maar dat wordt niet gehaald.
Momenteel loopt de internetconsultatie voor het wetsvoorstel tot en met 1 juli 2024. Na afloop van de consultatieperiode worden alle reacties bekeken en wordt eventueel het wetsvoorstel aangepast.
Na verwerking van de consultatiereacties zullen de wetsvoorstellen aan de Afdeling advisering van de Raad van State worden voorgelegd voor advies. De minister streeft ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan de Kamer aan te bieden.
De Cyberbeveiligingswet, die de Europese NIS2-richtlijn in Nederland moet implementeren, treedt als gevolg van de vertraging naar verwachting pas in het tweede of derde kwartaal van 2025 in werking.
Bekijk al het nieuws