In hoeverre denken organisaties uit de sector energie al te voldoen aan de Cyberbeveiligingswet | Rijksinspectie Digitale Infrastructuur (RDI)

Het verminderen van de risico’s van de toeleveringsketen, het trainen van alle leden van het bestuur, én het opstellen van beleid en procedures over cryptografie en encryptie (indien van toepassing). Dit zijn onderwerpen waarop organisaties uit de sector ‘energie’ zichzelf minder scoren in de NIS2-Quickscan. Deze scan is een self-assessment voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Network and Information Systems Directive 2 (NIS2). Dit is de Europese richtlijn die wordt omgezet in de Cyberbeveiligingswet (Cbw). De Rijksinspectie Digitale Infrastructuur (RDI) gaat toezicht houden op naleving van de Cbw voor deze sector.

Energiesector

De sector ‘energie’ valt onder de Cbw. Deze sector bestaat uit de volgende subsectoren: elektriciteit, stadsverwarming en -koeling, aardolie, aardgas en waterstof. De RDI hield al toezicht op (een deel van) de energiesector vanwege de Wet beveiliging netwerk- en informatiesystemen (Wbni).

De Cyberbeveiligingswet vervangt de Wbni, zodra deze van kracht wordt. Dan moeten organisaties in de energiesector voldoen aan deze nieuwe wet. Of uw organisatie onder de Cbw valt, hangt o.a. af van uw omzet, aantal medewerkers en waar uw hoofdkantoor is gevestigd. Met behulp van de Zelfevaluatie krijgt u inzicht of uw organisatie onder de Cbw valt.

Werk aan de winkel: belangrijkste aandachtspunten

In de Quickscan gaven respondenten aan in welke sector zij werken. De respondenten uit de energiesector schatten in dat hun organisatie in ieder geval nog moet werken aan de volgende onderwerpen:

Verminderen van de risico's van de toeleveringsketen;
Trainen van alle leden van het bestuur (governance);
Opstellen beleid en procedures over cryptografie en encryptie (indien van toepassing)

Verminder de risico’s van de toeleveringsketen

Door de zorgplicht van de Cbw bent u ook verantwoordelijk voor uw toeleveringsketen. Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op de continuïteit van de dienstverlening van uw organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Voor welke processen en data bent u afhankelijk van uw leveranciers? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s. Met deze kritieke leveranciers maakt u afspraken om de cyberbeveiligingsrisico's te verminderen. Ook maakt u afspraken met uw nieuwe leveranciers die grote impact hebben op uw eigen organisatie.

Train alle leden van uw bestuur

In de Cbw staat dat alle leden van uw bestuur verplicht een training moeten volgen. Een certificaat is nodig om aan te tonen dat de kennis van alle bestuursleden actueel is. Deze regels gelden alleen voor uitvoerende bestuurders. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders zijn een uitzondering op deze verplichting.

Stel beleid en procedures op over cryptografie en encryptie

Organisaties die onder de wet vallen, moeten beleid en procedures hebben over het gebruik van cryptografie en encryptie.

De wet verplicht organisaties om passende technische en organisatorische maatregelen te nemen om risico's te beheersen. Cryptografie is hierin een sleutelcomponent om de vertrouwelijkheid en integriteit van gegevens te waarborgen. Het gaat om technieken waarmee u:

gegevens geheim kunt houden;
kunt controleren of data niet veranderd zijn;
kunt verifiëren wie de afzender is; of,
veilig kunt communiceren over onveilige netwerken.

Een voorbeeld van cryptografie binnen de cybersecurity is encryptie. Hierbij worden gegevens omgezet van een leesbare indeling naar een gecodeerde indeling. Gecodeerde gegevens kunnen alleen worden gelezen of verwerkt nadat ze gedecodeerd zijn.

Onderwerpen die al goed gaan

Respondenten uit de sector ‘energie’ die de Quickscan hebben ingevuld, schatten in dat hun organisatie al goed op weg is met de volgende onderwerpen:

Incidentbehandeling: organisaties hebben een proces voor de behandeling van incidenten. De incidenten worden geregistreerd, beoordeeld, afgehandeld én gerapporteerd aan het verantwoordelijk management.
Authenticatieoplossingen en communicatiesystemen: Organisaties gebruiken multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.
Rapportageverplichtingen: Organisaties delen zo snel mogelijk mee welke beheersmaatregelen kunnen worden genomen bij een mogelijke significante cyberdreiging.

Quickscan – kijk zelf hoever u bent met de Cbw

In de periode van februari 2024 t/m september 2025 werd 459 keer de Quickscan voor de energiesector volledig ingevuld.

Met behulp van 40 vragen krijgt een organisatie een beeld over hoe de cyberbeveiliging van zijn netwerk- en informatiesystemen op dat moment ervoor staat. Na het afronden van de vragenlijst ontvangt de respondent zijn scores en een handelingsperspectief voor een verdere voorbereiding op de Cbw. De Quickscan geeft geen garantie dat de organisatie al voldoet aan de eisen van de nieuwe wetgeving.

Wie zijn wij?

Wij zijn de Rijksinspectie Digitale Infrastructuur. We zijn de toezichthouder op de energiesector. Digitale weerbaarheid van organisaties is cruciaal voor het vertrouwen in onze digitale samenleving en economie, en voor het gebruiken van de kansen die digitalisering biedt. Daarom houden wij toezicht, delen we onze inzichten daaruit en werken we samen met verschillende organisaties aan een veilig verbonden Nederland.

Meer weten

Wilt u meer weten over de Cbw of over hoe wij werken? Kijk dan op www.rdi.nl/cbw.