Op 8 augustus 2016 is de EU-richtlijn Netwerk- en informatiebeveiliging (hierna: 'NIB-richtlijn') in werking getreden. De NIB-richtlijn bevat (nadere) regels met betrekking tot netwerk- en informatiebeveiliging die onder meer van toepassing zijn op 'aanbieders van essentiële diensten', waaronder bedrijven in de energiesector. Doel van deze richtlijn is het tot stand brengen van een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen van dergelijke aanbieders in de EU. Dit is van belang omdat de omvang, de frequentie en de gevolgen van beveiligingsincidenten toenemen en een grote bedreiging vormen voor de goede werking van netwerk- en informatiesystemen. De betrouwbaarheid en beveiliging van netwerk- en informatiesystemen van 'aanbieders van essentiële diensten' is volgens de NIB-richtlijn essentieel voor een goede werking van de interne markt.

Voor wie gelden de ‘NIB’-maatregelen?

De NIB-richtlijn is onder meer van toepassing op 'aanbieders van essentiële diensten', waaronder begrepen de hiernavolgende (private of publieke) bedrijven in de energiesector:

  • energiebedrijven (in het bijzonder, energieleveranciers (verwezen wordt naar art. 2 punt 19 Richtlijn 2009/72/EG (voor elektriciteit) en art. 2 punt 8 Richtlijn 2009/73/EG (voor gas));
  • elektriciteits- en gasnetbeheerders (zowel op transmissie- als op distributieniveau);
  • exploitanten van olie- en gaspijpleidingen en exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie en gas, opslag en transport, en tot slot ook
  • opslag- en LNG-systeembeheerders.

Voor de drinkwatersector zijn dit:

  • leveranciers en distributeurs van voor menselijke consumptie bestemd water (verwezen wordt naar art. 2, punt 1, onder a) Richtlijn 98/38/EG). Een uitzondering geldt echter voor distributeurs voor wie de distributie van drinkwater geen kernactiviteit is.

Maatregelen voor aanbieders van essentiële diensten

Na implementatie van de NIB-richtlijn zullen 'aanbieders van essentiële diensten' verplicht zijn om passende en evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de door de aanbieders gebruikte beveiliging van netwerk- en informatiesystemen te beheersen.

Daarnaast dienen dergelijke aanbieders maatregelen te nemen om de gevolgen van mogelijke incidenten te voorkomen en te minimaliseren om op die manier de continuïteit van hun 'essentiële' diensten zo veel mogelijk te waarborgen.

Tot slot voorziet de NIB-richtlijn in een meldplicht voor beveiligingsincidenten met 'aanzienlijke gevolgen'.

Wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity

De NIB-richtlijn dient uiterlijk op 9 mei 2018 door de lidstaten in hun nationale wetgeving te zijn geïmplementeerd. In Nederland is op dit moment echter al een wetsvoorstel aanhangig waarin diverse onderwerpen en maatregelen zijn opgenomen die ook in de NIB-richtlijn zijn terug te vinden, zoals een meldplicht bij beveiligingsincidenten. Uit de parlementaire geschiedenis volgt dat dit wetsvoorstel mogelijk al op korte termijn zal worden aangenomen en in werking zal treden (derhalve ruim voor de implementatiedatum van 9 mei 2018). In dat geval zal (mogelijk) nog aanvullende implementatiewetgeving nodig zijn gelet op het feit dat het wetsvoorstel nog niet alle NIB-onderwerpen regelt.

Daarnaast is het toepassingsbereik van de NIB-richtlijn breder dan dat van het huidige wetsvoorstel. Anders dan de NIB-richtlijn is het wetsvoorstel namelijk alleen van toepassing op de landelijke elektriciteits- en gasnetbeheerders.