1) In deze aanbeveling worden de belangrijkste kwesties in verband met cyberbeveiliging in de energiesector uiteengezet — met name realtimevereisten, cascade-effecten en de combinatie van oudere en geavanceerde technologieën — en worden de belangrijkste acties voor de uitvoering van relevante maatregelen voor cyberbeveiligingsparaatheid in de energiesector vastgesteld.

2) Bij de toepassing van deze aanbeveling moeten de lidstaten de relevante belanghebbenden aanmoedigen om kennis en vaardigheden op te bouwen met betrekking tot cyberbeveiliging in de energiesector. Waar passend moeten de lidstaten deze overwegingen ook opnemen in hun nationale kader voor cyberbeveiliging, met name via strategieën, wetten, voorschriften en andere administratieve bepalingen.

3) De lidstaten moeten ervoor zorgen dat de relevante belanghebbenden, met name energienetwerkbeheerders en technologieleveranciers, en in het bijzonder aanbieders van essentiële diensten die in het kader van de NIS-richtlijn zijn aangemerkt, de relevante maatregelen voor cyberbeveiligingsparaatheid treffen als het gaat om de realtimevereisten in de energiesector. Sommige elementen van het energiesysteem moeten in real time werken, d.w.z. binnen een paar milliseconden reageren op commando's. Door dit gebrek aan tijd wordt het moeilijk of zelfs onmogelijk om cyberbeveiligingsmaatregelen te treffen.

4) Energienetwerkbeheerders moeten met name:

a) waar passend de meest recente beveiligingsnormen toepassen voor nieuwe installaties en aanvullende fysieke beveiligingsmaatregelen overwegen wanneer de geïnstalleerde basis van oude installaties niet voldoende kan worden beschermd met cyberbeveiligingsmechanismen;

b) internationale cyberbeveiligingsnormen en adequate specifieke technische normen toepassen met het oog op veilige realtimecommunicatie zodra de respectieve producten in de handel verkrijgbaar zijn;

c) realtimebeperkingen overwegen in het algehele beveiligingsconcept voor activa, met name met betrekking tot de classificatie van activa;

d) netwerken in particulier bezit overwegen wanneer het gaat om regelingen voor beveiliging met signaaloverdracht, om de kwaliteit van de dienstverlening te waarborgen die nodig is voor realtimebeperkingen; bij het gebruik van openbare communicatienetwerken moeten de beheerders toekenning van specifieke bandbreedtes, eisen inzake latentietijden en maatregelen op het gebied van communicatiebeveiliging in overweging nemen;

e) het algemene systeem in logische zones verdelen en binnen elke zone tijds- en procesbeperkingen vaststellen zodat passende maatregelen op het gebied van cyberbeveiliging kunnen worden getroffen of alternatieve beschermingsmethoden kunnen worden overwogen.

5) Waar mogelijk moeten de energienetwerkbeheerders ook:

a) een beveiligd communicatieprotocol kiezen, rekening houdend met realtimevereisten, bijvoorbeeld tussen een installatie en de bijbehorende beheersystemen (energiebeheersysteem (EMS)/distributiebeheersysteem (DMS));

b) een passend authenticatiemechanisme voor communicatie tussen machines invoeren, waarbij de realtimevereisten worden aangepakt.

6) De lidstaten moeten ervoor zorgen dat de relevante belanghebbenden, met name energienetwerkbeheerders en technologieleveranciers, en in het bijzonder aanbieders van essentiële diensten die in het kader van de NIS-richtlijn zijn aangemerkt, de relevante maatregelen voor cyberbeveiligingsparaatheid treffen als het gaat om cascade-effecten in de energiesector. Elektriciteitsnetten en gaspijpleidingen zijn in Europa sterk met elkaar verbonden en een cyberaanval die een onderbreking of verstoring in een deel van het energiesysteem veroorzaakt, kan verreikende cascade-effecten teweegbrengen in andere delen van dat systeem.

7) Bij de toepassing van deze aanbeveling moeten de lidstaten een beoordeling maken van de onderlinge afhankelijkheid en het kritieke karakter van systemen voor elektriciteitsopwekking en systemen voor flexibele vraag, onderstations en lijnen voor transmissie en distributie, en de getroffen belanghebbenden (ook in grensoverschrijdende situaties) in het geval van een succesvolle cyberaanval of een cyberincident. De lidstaten moeten er ook voor zorgen dat energienetwerkbeheerders over een kader voor communicatie met alle belangrijke belanghebbenden beschikken zodat ze vroegtijdige waarschuwingssignalen kunnen delen en kunnen samenwerken op het vlak van crisisbeheer. Er moeten gestructureerde communicatiekanalen en overeengekomen formaten worden vastgesteld om gevoelige informatie te delen met alle relevante belanghebbenden, Computer Security Incident Response Teams en relevante autoriteiten.

8) Energienetwerkbeheerders moeten met name:

a) ervoor zorgen dat nieuwe apparaten, waaronder toestellen die verbonden zijn met het internet der dingen (Internet of Things — IoT), een cyberbeveiligingsniveau hebben en behouden dat passend is voor het kritieke karakter van een locatie;

b) cyberfysieke effecten op een passende manier in overweging nemen bij de vaststelling en periodieke herziening van bedrijfscontinuïteitsplannen;

c) ontwerpcriteria vaststellen, alsook een architectuur voor een weerbaar net, hetgeen kan worden bereikt door:

— de invoering van grondige beschermingsmaatregelen per locatie, aangepast aan het kritieke karakter van de locatie;

— kritieke knooppunten in kaart te brengen, zowel wat de productiecapaciteit als de impact op de afnemers betreft; Bij het ontwerp van kritieke functies van een net moet het risico op cascade-effecten worden beperkt door na te denken over redundantie, weerbaarheid tegen fase-oscillatie en bescherming tegen belastingsuitschakeling in cascade;

— samen te werken met andere relevante beheerders en technologieleveranciers om cascade-effecten te voorkomen door middel van passende maatregelen en diensten;

— communicatie- en controlenetwerken te ontwerpen en te bouwen om de gevolgen van fysieke en logische storingen te beperken tot afgebakende delen van de netwerken en om te zorgen voor adequate en snelle risicobeperkende maatregelen.

9) De lidstaten moeten ervoor zorgen dat de relevante belanghebbenden, met name energienetwerkbeheerders en technologieleveranciers, en in het bijzonder aanbieders van essentiële diensten die in het kader van de NIS-richtlijn zijn aangemerkt, de relevante maatregelen voor cyberbeveiligingsparaatheid treffen als het gaat om de combinatie van oudere en geavanceerde technologie in de energiesector. ►C1  In het huidige energiesysteem worden namelijk twee verschillende technologieën naast elkaar gebruikt: een oudere technologie met een levensduur van 30 tot 60 jaar die is ontworpen toen er nog geen rekening moest worden gehouden met cyberbeveiliging, en moderne apparatuur, die is aangepast aan de meest recente digitalisering en aan slimme apparaten. ◄

10) Bij de toepassing van deze aanbeveling dienen de lidstaten de energienetwerkbeheerders en technologieleveranciers aan te moedigen waar mogelijk de relevante internationaal aanvaarde cyberbeveiligingsnormen te volgen. Belanghebbenden en afnemers moeten op hun beurt een aanpak volgen die gericht is op cyberbeveiliging wanneer zij dergelijke apparaten op het net aansluiten.

11) Met name de technologieleveranciers moeten, zodra een relevant veiligheidsprobleem met betrekking tot oudere of nieuwe technologieën wordt vastgesteld, kosteloos beproefde oplossingen aanbieden.

12) Energienetwerkbeheerders moeten met name:

a) analyseren welke risico's verbonden zijn aan het verbinden van oudere concepten met IoT-concepten en moeten zich bewust zijn van interne en externe interfaces en hun kwetsbaarheden;

b) passende maatregelen nemen tegen kwaadwillige aanvallen die afkomstig zijn van een groot aantal kwaadwillig gecontroleerde consumentenapparaten of -toepassingen;

c) zorgen voor een geautomatiseerde monitoring- en analysecapaciteit voor beveiligingsgerelateerde gebeurtenissen in oudere omgevingen en IoT-omgevingen, zoals mislukte pogingen om in te loggen, deuralarmen die afgaan bij het openen van een kast, of andere gebeurtenissen.

d) regelmatig specifieke risicoanalyses met betrekking tot cyberbeveiliging uitvoeren op alle oudere installaties, met name wanneer oude en nieuwe technologieën met elkaar worden verbonden; aangezien de oudere installaties vaak een zeer groot aantal activa vertegenwoordigen, kan een risicoanalyse worden uitgevoerd aan de hand van klassen van activa;

e) software en hardware van oudere systemen en IoT-systemen waar nodig updaten naar de meest recente versie; wanneer patches of updates adequaat zouden zijn, maar niet kunnen worden geïnstalleerd, bijvoorbeeld bij niet-ondersteunde producten, moeten de energienetwerkbeheerders aanvullende maatregelen overwegen, zoals de opdeling van het systeem of het toevoegen van externe veiligheidsbarrières;

f) bij het uitschrijven van aanbestedingen rekening houden met cyberbeveiliging, dat wil zeggen informatie vragen over veiligheidskenmerken, eisen dat bestaande cyberbeveiligingsnormen worden nageleefd, dat er op continue basis voor waarschuwingen, patches en voorstellen voor risicobeperkende maatregelen wordt gezorgd als er zwakke plekken worden ontdekt, en de aansprakelijkheid van de verkoper in geval van cyberaanvallen of -incidenten verduidelijken;

g) samenwerken met technologieleveranciers om oudere systemen te vervangen wanneer dat om veiligheidsredenen nuttig is, maar daarbij rekening houden met de kritieke functies van de systemen.

13) De lidstaten moeten de Commissie via de NIS-samenwerkingsgroep binnen twaalf maanden na de vaststelling van deze aanbeveling en vervolgens om de twee jaar gedetailleerde informatie verstrekken over de stand van uitvoering van deze aanbeveling.

14) Op basis van de door de lidstaten verstrekte informatie zal de Commissie de uitvoering van deze aanbeveling evalueren en in overleg met de lidstaten en de relevante belanghebbenden beoordelen of eventuele verdere maatregelen nodig zijn.

15) Deze aanbeveling is gericht tot de lidstaten.