Wbni-speerpunten 2023
De Rijksinspectie Digitale Infrastructuur (RDI) – voorheen Agentschap Telecom – legt uit waar ze in 2023 met nadruk naar gaat kijken bij het toezicht op de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Wbni - wat
De Wbni is de Nederlandse implementatie van de Europese NIB-richtlijn. De Wbni verplicht aanbieders van essentiële diensten (AED’s) en digitale dienstverleners om passende en evenredige technische en organisatorische maatregelen te nemen om hun ICT te beveiligen. Daarnaast moeten er passende maatregelen getroffen worden om incidenten te voorkomen en de gevolgen van incidenten zo veel mogelijk te beperken.
Wbni - wie
De Minister van Klimaat en Energie heeft elektriciteitsproducenten en de landelijke en regionale netbeheerders aangewezen als AED. In de sector digitale infrastructuur gaat het om internet exchanges en de beheerder van het .nl domein (SIDN). De RDI houdt actief toezicht op de naleving van de Wbni bij deze doelgroepen. Digitale dienstverleners worden niet aangewezen en moeten zelf bepalen of ze onder de Wbni vallen. De RDI houdt reactief toezicht op de naleving bij deze doelgroep.
Wbni - hoe
De RDI houdt op vier manieren toezicht op de Wbni:
• Reguliere inspecties: we kijken in de breedte naar het geheel van de beveiliging
• Thema-inspecties: we richten ons op één beveiligingsaspect
• Incidentinspecties: bij een melding van een incident kijken we naar de oorzaak van het incident en naar hoe dit in de toekomst voorkomen kan worden
• Thematoezicht: op basis van specifieke onderzoeken en activiteiten stimuleren en ondersteunen we de hele sector om digitaal weerbaar te zijn en te blijven.
Wbni – toezicht vorig jaar
In 2022 heeft de RDI een thema-inspectie Business Continuity Management (BCM) uitgevoerd bij de netbeheerders en de sector digitale infrastructuur om te onderzoeken hoe deze partijen de gevolgen van incidenten beperken. Daarnaast heeft er een kennismaking en eerste inventarisatie van de zorgplicht plaatsgevonden bij een groep van ruim 20 grote energieproducenten.
Belangrijke ontwikkelingen 2023
Olie- en gaslevering zijn van vitaal belang. Daarom wordt in 2023 een aantal nieuwe AED’s aangewezen binnen de energiesector. Daarnaast worden binnen de sector digitale infrastructuur drie grote DNS-partijen aangewezen.
Op wetgevingsgebied spelen forse veranderingen. De NIB-richtlijn is herzien (NIS2) en de richtlijn Critical Entities Resilience (CER) en de EU Netwerkcode Cybersecurity zijn in een vergevorderd stadium.
De versterkte aanpak vitale infrastructuur, de veranderende geopolitieke situatie en de uitbreiding van het toepassingsgebied van de NIS2 onderstrepen het belang van de samenwerking met andere toezichthouders, zowel nationaal als internationaal.
Speerpunten 2023
• Kennismaking en eerste inventarisatie van de invulling van de zorgplicht bij een groep nieuwe AED’s binnen de energiesector en de sector digitale infrastructuur.
• Thema-inspecties op het meerjarenthema Business Continuity Management bij een risicogebaseerde selectie in de energiesector op het onderwerp black-start. Ruim voor de inspecties worden de geselecteerde partijen daarover geïnformeerd.
• Thema-inspecties bij een risicogebaseerde selectie van energieproducenten op het onderwerp risk management. De uitkomsten hiervan gebruiken we ook in het samenhangend inspectiebeeld. Ruim voor de inspecties worden de geselecteerde partijen daarover geïnformeerd.
• Thematoezicht binnen de sector energie op het thema Industrial Automation and Control Systems (IACS) en waar mogelijk breder. Dit ziet op de weinig gereguleerde OT-systeemkant en bijbehorende supply chain risico’s.
• Accountmanagementgesprekken met de AED’s. NIS2 en – waar relevant – Netcode, zijn specifieke agendaonderwerpen.
2023 staat daarnaast ook in het teken van de implementatie van deze wettelijke kaders in Nederlandse wetgeving en voorbereiding voor het uitvoeren van het toezicht en andere taken die hieruit voortvloeien.