De Netcode voor Cybersecurity (NCCS) is een Europese verordening die de cyberveiligheid verbetert van het Europese elektriciteitsnetwerk. De verordening verplicht onder andere belangrijke of kritieke organisaties zoals (elektriciteits)producenten en distributeurs om diverse organisatorische en technische maatregelen te nemen voor hun elektriciteitsprocessen die van invloed zijn op grensoverschrijdende elektriciteitsstromen op het gebied van cyberbeveiliging.
De elektriciteitssystemen van landen in de EU zijn met elkaar verbonden. Daarom hebben deze landen samen regels gemaakt over cybersecurity. Deze regels helpen om het elektriciteitssystemen veilig, betrouwbaar en werkend te houden.
Voor wie geldt de Netcode?
De NCCS is van toepassing op organisaties binnen de elektriciteitssector die een significante impact kunnen hebben op grensoverschrijdende elektriciteitsstromen. Dit zijn onder andere:
- Distributie- en transmissiesysteembeheerders;
- Elektriciteitsbedrijven;
- Elektriciteitsmarktbeheerders
- Georganiseerde markten;
- Balanceringsverantwoordelijken (BRP’s);
- Exploitanten van laadpunten.
Organisaties worden aangewezen door het Ministerie van Klimaat en Groene Groei (KGG) op basis van de European Cybersecurity Impact Index (ECII).
Wat zijn de stappen?
- Voorlopige aanwijzing (2025)
Organisaties worden voorlopig aangewezen op basis van voorlopige ECII-drempelwaarden. In deze fase zijn er nog geen verplichtingen, maar kan vrijwillig aan de eisen worden voldaan. - Ondersteuning en voorbereiding
De voorlopig aangewezen organisaties hebben recht op ondersteuning van het Nationaal Cyber Security Centrum (NCSC), dat fungeert als sectorale CSIRT. - Definitieve aanwijzing (naar verwachting medio 2028)
Organisaties die definitief worden aangewezen, zijn verplicht om te voldoen aan de eisen uit de NCCS. Dit omvat onder andere het melden van cyber-incidenten met (potentiële) grensoverschrijdende gevolgen binnen vier uur. - Toezicht en handhaving
De Autoriteit Consument & Markt (ACM) is momenteel toezichthouder. Na inwerkingtreding van de Energiewet (1 januari 2026) wordt dit de Rijksinspectie Digitale Infrastructuur (RDI).
Netcode en de Cyberbeveiligingswet/NIS2
De Netcode voor Cybersecurity (NCCS) en de NIS2-richtlijn zijn beide Europese regelgevingen gericht op het versterken van digitale weerbaarheid, maar verschillen in reikwijdte en toepassing.
De NCCS is specifiek ontwikkeld voor de elektriciteitssector en richt zich uitsluitend op de digitale systemen die essentieel zijn voor het uitvoeren van elektriciteitsprocessen van belangrijke en kritieke entiteiten/organisaties met grensoverschrijdende impact. De NIS2-richtlijn daarentegen heeft een bredere scope en geldt voor meerdere sectoren, waarbij de gehele digitale omgeving van een organisatie onder de verplichtingen valt. Beide regelingen kunnen op een organisatie van toepassing zijn, maar dit is niet automatisch het geval. De NCCS is aanvullend op NIS2 en biedt extra waarborgen voor cybersecurity binnen de elektriciteitsnetwerk.
Vragen of ondersteuning nodig?
Voor meer informatie kunt u terecht bij de volgende organisaties: