5.4.2019 |
NL |
Publicatieblad van de Europese Unie |
L 96/50 |
AANBEVELING (EU) 2019/553 VAN DE COMMISSIE
van 3 april 2019
over cyberbeveiliging in de energiesector
(Kennisgeving geschied onder nummer C(2019) 2400)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 292,
Overwegende hetgeen volgt:
(1) |
De Europese energiesector maakt een belangrijke ontwikkeling naar een koolstofvrije economie door, waarbij ook de voorzieningszekerheid en het concurrentievermogen worden gewaarborgd. In het kader van deze energietransitie en de daarmee verband houdende decentralisatie van de opwekking van elektriciteit uit hernieuwbare bronnen, maken de technologische vooruitgang, de sectorkoppeling en de digitalisering dat het Europese elektriciteitsnet in een "slim net" verandert. Dit brengt ook nieuwe risico's met zich mee, aangezien digitalisering het energiesysteem steeds meer blootstelt aan cyberaanvallen en -incidenten die de energievoorzieningszekerheid in gevaar kunnen brengen. |
(2) |
Dankzij de aanneming van alle acht wetgevingsvoorstellen (1) van het pakket "Schone energie voor alle Europeanen", met de governance van de energie-unie als opstapje, kan een gunstig klimaat tot stand worden gebracht voor de digitale transformatie van de energiesector. Ook wordt belang gehecht aan cyberbeveiliging in de energiesector. Met name de herschikking van de verordening betreffende de interne markt voor elektriciteit (2) voorziet in de vaststelling van technische voorschriften voor elektriciteit, zoals een netcode inzake sectorspecifieke regels voor cyberbeveiligingsaspecten van grensoverschrijdende elektriciteitsstromen, inzake gemeenschappelijke minimumvereisten, planning, monitoring, rapportage en crisisbeheer. In de verordening betreffende de risicoparaatheid in de elektriciteitssector (3) wordt in grote lijnen de aanpak gevolgd die is gekozen in de verordening betreffende de veiligstelling van de gasleveringszekerheid (4), wordt benadrukt dat alle risico's naar behoren moeten worden geanalyseerd, inclusief de risico's in verband met cyberbeveiliging, en wordt voorgesteld maatregelen te nemen om deze risico's te voorkomen en te beperken. |
(3) |
Toen de Commissie in 2013 de strategie inzake cyberbeveiliging van de Europese Unie (5) vaststelde, werd de cyberweerbaarheid van de Unie als een prioriteit aangemerkt. Een van de belangrijkste resultaten van de strategie is de in juli 2016 vastgestelde richtlijn cyberbeveiliging (6) (hierna "NIS-richtlijn" genoemd). De NIS-richtlijn is de eerste horizontale EU-wetgeving inzake cyberbeveiliging en zorgt voor een hoger algeheel niveau van cyberbeveiliging in de Unie, omdat nationale cyberbeveiligingscapaciteiten worden ontwikkeld, de samenwerking op EU-niveau wordt opgevoerd en verplichtingen inzake beveiliging en de melding van incidenten worden opgelegd aan ondernemingen waarnaar wordt verwezen als "aanbieders van essentiële diensten". De melding van incidenten is verplicht in belangrijke sectoren zoals de energiesector. |
(4) |
Bij de uitvoering van paraatheidsmaatregelen op het gebied van cyberbeveiliging moeten de relevante belanghebbenden, waaronder de in de NIS-richtlijn vermelde aanbieders van essentiële diensten in de energiesector, rekening houden met de horizontale richtsnoeren van de op grond van artikel 11 van de NIS-richtlijn opgerichte NIS-samenwerkingsgroep. Die samenwerkingsgroep, die bestaat uit vertegenwoordigers van de lidstaten, het agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en de Commissie, heeft richtsnoeren vastgesteld met betrekking tot beveiligingsmaatregelen en de melding van incidenten. In juni 2018 heeft de samenwerkingsgroep een specifieke werkstroom over energie opgezet. |
(5) |
In de gezamenlijke mededeling van 2017 over cyberbeveiliging (7) wordt het belang erkend van sectorspecifieke overwegingen en voorschriften op EU-niveau, onder meer in de energiesector. De voorbije jaren is in de Unie uitgebreid gedebatteerd over cyberbeveiliging en mogelijke gevolgen voor het beleid. Daarom groeit vandaag het besef dat bepaalde economische sectoren worden geconfronteerd met specifieke cyberbeveiligingsproblemen en dus een eigen sectorale benadering moeten ontwikkelen in het bredere kader van algemene cyberbeveiligingsstrategieën. |
(6) |
Informatie-uitwisseling en vertrouwen zijn essentieel als het om cyberbeveiliging gaat. De Commissie wil ervoor zorgen dat de relevante belanghebbenden beter informatie uitwisselen en doet dit door specifieke evenementen te organiseren, zoals de in maart 2017 in Rome georganiseerde rondetafelconferentie op hoog niveau over cyberbeveiliging in de energiesector en de in oktober 2018 in Brussel gehouden conferentie op hoog niveau over cyberbeveiliging in de energiesector. De Commissie wil ook zorgen voor meer samenwerking tussen relevante belanghebbenden en gespecialiseerde entiteiten zoals het European Energy Information Sharing and Analysis Centre (Europees Centrum voor uitwisseling en analyse van informatie over energie). |
(7) |
Met de verordening inzake Enisa (het agentschap van de Europese Unie voor cyberbeveiliging) en de verordening inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening") (8) wordt het mandaat van het agentschap van de Europese Unie voor cyberbeveiliging versterkt zodat het meer ondersteuning kan bieden aan de lidstaten bij hun aanpak van cyberdreigingen en -aanvallen. Ook creëert dit een Europees cyberbeveiligingskader voor de certificering van producten, processen en diensten, dat in de hele Unie geldig is en van bijzonder belang is voor de energiesector. |
(8) |
De Commissie heeft een aanbeveling (9) uitgebracht met betrekking tot cyberbeveiligingsrisico's in de netwerktechnologieën van de vijfde generatie (5G) door richtsnoeren vast te stellen over passende risicoanalyse en beheersmaatregelen op nationaal niveau, de ontwikkeling van een gecoördineerde Europese risicoanalyse en de vaststelling van een proces voor de ontwikkeling van een gemeenschappelijk instrumentarium van beste risicobeheersmaatregelen. Zodra ze zijn uitgerold zullen 5G-netwerken de ruggengraat vormen van een breed scala aan diensten die van essentieel belang zijn voor de werking van de interne markt en van onmisbare maatschappelijke en economische functies zoals energie. |
(9) |
Deze aanbeveling moet de lidstaten en relevante belanghebbenden, met name netbeheerders en technologieleveranciers, niet-exhaustieve leidraden bieden om een hoger niveau van cyberbeveiliging te bereiken, rekening houdend met de specifieke realtimevereisten die in de energiesector zijn vastgesteld, cascade-effecten en de combinatie van oudere en geavanceerde technologieën. Deze richtsnoeren zijn bedoeld om belanghebbenden te helpen rekening te houden met de specifieke eisen van de energiesector wanneer zij internationaal erkende cyberbeveiligingsnormen (10) toepassen. |
(10) |
De Commissie is voornemens deze aanbeveling regelmatig te herzien op basis van de in de Unie geboekte vooruitgang, in overleg met de lidstaten en de relevante belanghebbenden. De Commissie zal zich blijven inspannen om de cyberbeveiliging in de energiesector te versterken, met name via de NIS-samenwerkingsgroep, die zorgt voor strategische samenwerking en informatie-uitwisseling tussen de lidstaten op het gebied van cyberbeveiliging. |
HEEFT DE VOLGENDE AANBEVELING VASTGESTELD:
ONDERWERP
1) |
In deze aanbeveling worden de belangrijkste kwesties in verband met cyberbeveiliging in de energiesector uiteengezet — met name realtimevereisten, cascade-effecten en de combinatie van oudere en geavanceerde technologieën — en worden de belangrijkste acties voor de uitvoering van relevante maatregelen voor cyberbeveiligingsparaatheid in de energiesector vastgesteld. |
2) |
Bij de toepassing van deze aanbeveling moeten de lidstaten de relevante belanghebbenden aanmoedigen om kennis en vaardigheden op te bouwen met betrekking tot cyberbeveiliging in de energiesector. Waar passend moeten de lidstaten deze overwegingen ook opnemen in hun nationale kader voor cyberbeveiliging, met name via strategieën, wetten, voorschriften en andere administratieve bepalingen. |
REALTIMEVEREISTEN VOOR COMPONENTEN VAN DE ENERGIE-INFRASTRUCTUUR
3) |
De lidstaten moeten ervoor zorgen dat de relevante belanghebbenden, met name energienetwerkbeheerders en technologieleveranciers, en in het bijzonder aanbieders van essentiële diensten die in het kader van de NIS-richtlijn zijn aangemerkt, de relevante maatregelen voor cyberbeveiligingsparaatheid treffen als het gaat om de realtimevereisten in de energiesector. Sommige elementen van het energiesysteem moeten in real time werken, d.w.z. binnen een paar milliseconden reageren op commando's. Door dit gebrek aan tijd wordt het moeilijk of zelfs onmogelijk om cyberbeveiligingsmaatregelen te treffen. |
4) |
Energienetwerkbeheerders moeten met name:
|
5) |
Waar mogelijk moeten de energienetwerkbeheerders ook:
|
CASCADE-EFFECTEN
6) |
De lidstaten moeten ervoor zorgen dat de relevante belanghebbenden, met name energienetwerkbeheerders en technologieleveranciers, en in het bijzonder aanbieders van essentiële diensten die in het kader van de NIS-richtlijn zijn aangemerkt, de relevante maatregelen voor cyberbeveiligingsparaatheid treffen als het gaat om cascade-effecten in de energiesector. Elektriciteitsnetten en gaspijpleidingen zijn in Europa sterk met elkaar verbonden en een cyberaanval die een onderbreking of verstoring in een deel van het energiesysteem veroorzaakt, kan verreikende cascade-effecten teweegbrengen in andere delen van dat systeem. |
7) |
Bij de toepassing van deze aanbeveling moeten de lidstaten een beoordeling maken van de onderlinge afhankelijkheid en het kritieke karakter van systemen voor elektriciteitsopwekking en systemen voor flexibele vraag, onderstations en lijnen voor transmissie en distributie, en de getroffen belanghebbenden (ook in grensoverschrijdende situaties) in het geval van een succesvolle cyberaanval of een cyberincident. De lidstaten moeten er ook voor zorgen dat energienetwerkbeheerders over een kader voor communicatie met alle belangrijke belanghebbenden beschikken zodat ze vroegtijdige waarschuwingssignalen kunnen delen en kunnen samenwerken op het vlak van crisisbeheer. Er moeten gestructureerde communicatiekanalen en overeengekomen formaten worden vastgesteld om gevoelige informatie te delen met alle relevante belanghebbenden, Computer Security Incident Response Teams en relevante autoriteiten. |
8) |
Energienetwerkbeheerders moeten met name:
|
OUDERE EN GEAVANCEERDE TECHNOLOGIE
9) |
De lidstaten moeten ervoor zorgen dat de relevante belanghebbenden, met name energienetwerkbeheerders en technologieleveranciers, en in het bijzonder aanbieders van essentiële diensten die in het kader van de NIS-richtlijn zijn aangemerkt, de relevante maatregelen voor cyberbeveiligingsparaatheid treffen als het gaat om de combinatie van oudere en geavanceerde technologie in de energiesector. In het huidige energiesysteem worden namelijk twee verschillende technologieën naast elkaar gebruikt: een oudere technologie met een levensduur van 30 tot 60 jaar die is ontworpen toen er nog rekening moest worden gehouden met cyberbeveiliging, en moderne apparatuur, die is aangepast aan de meest recente digitalisering en aan slimme apparaten. |
10) |
Bij de toepassing van deze aanbeveling dienen de lidstaten de energienetwerkbeheerders en technologieleveranciers aan te moedigen waar mogelijk de relevante internationaal aanvaarde cyberbeveiligingsnormen te volgen. Belanghebbenden en afnemers moeten op hun beurt een aanpak volgen die gericht is op cyberbeveiliging wanneer zij dergelijke apparaten op het net aansluiten. |
11) |
Met name de technologieleveranciers moeten, zodra een relevant veiligheidsprobleem met betrekking tot oudere of nieuwe technologieën wordt vastgesteld, kosteloos beproefde oplossingen aanbieden. |
12) |
Energienetwerkbeheerders moeten met name:
|
TOEZICHT
13) |
De lidstaten moeten de Commissie via de NIS-samenwerkingsgroep binnen twaalf maanden na de vaststelling van deze aanbeveling en vervolgens om de twee jaar gedetailleerde informatie verstrekken over de stand van uitvoering van deze aanbeveling. |
EVALUATIE
14) |
Op basis van de door de lidstaten verstrekte informatie zal de Commissie de uitvoering van deze aanbeveling evalueren en in overleg met de lidstaten en de relevante belanghebbenden beoordelen of eventuele verdere maatregelen nodig zijn. |
ADRESSATEN
15) |
Deze aanbeveling is gericht tot de lidstaten. |
Gedaan te Brussel, 3 april 2019.
Voor de Commissie
Miguel ARIAS CAÑETE
Lid van de Commissie
(1) Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (PB L 328 van 21.12.2018, blz. 82); Richtlijn (EU) 2018/2002 van het Europees Parlement en de Raad van 11 december 2018 houdende wijziging van Richtlijn 2012/27/EU betreffende energie-efficiëntie (PB L 328 van 21.12.2018, blz. 210); Verordening (EU) 2018/1999 van het Europees Parlement en de Raad van 11 december 2018 inzake de governance van de energie-unie en van de klimaatactie, tot wijziging van Richtlijn 94/22/EG, Richtlijn 98/70/EG, Richtlijn 2009/31/EG, Verordening (EG) nr. 663/2009, Verordening (EG) nr. 715/2009, Richtlijn 2009/73/EG, Richtlijn 2009/119/EG van de Raad, Richtlijn 2010/31/EU, Richtlijn 2012/27/EU, Richtlijn 2013/30/EU en Richtlijn (EU) 2015/652 van de Raad, en tot intrekking van Verordening (EU) nr. 525/2013 (PB L 328 van 21.12.2018, blz. 1); Richtlijn (EU) 2018/844 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn 2010/31/EU betreffende de energieprestatie van gebouwen en Richtlijn 2012/27/EU betreffende energie-efficiëntie (PB L 156 van 19.6.2018, blz. 75). Tijdens de plenaire vergadering van maart 2019 bekrachtigde het Europees Parlement de politieke akkoorden met de Raad over de voorstellen voor de opzet van de elektriciteitsmarkt (de risicoparaatheidsverordening, de verordening betreffende het Agentschap voor de samenwerking tussen energieregulators (ACER), de elektriciteitsrichtlijn en de elektriciteitsverordening). De formele aanneming door de Raad volgt naar verwachting in april; de wettekst zal kort daarna in het Publicatieblad worden bekendgemaakt.
(2) COM(2016) 861.
(3) COM(2016) 862.
(4) Verordening (EU) 2017/1938 van het Europees Parlement en de Raad van 25 oktober 2017 betreffende maatregelen tot veiligstelling van de gasleveringszekerheid en houdende intrekking van Verordening (EU) nr. 994/2010 (PB L 280 van 28.10.2017, blz. 1).
(5) JOIN(2013) 1 final.
(6) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).
(7) JOIN(2017) 450 final.
(8) De cyberbeveiligingsverordening werd in maart 2019 door het Europees Parlement aangenomen. De formele aanneming door de Raad volgt naar verwachting in april; de wettekst zal kort daarna in het Publicatieblad worden bekendgemaakt.
(9) C(2019) 2335.
(10) Internationale normalisatieorganisaties hebben diverse cyberbeveiligingsnormen (ISO/IEC 27000: Informatietechnologie) en risicobeheernormen (ISO/IEC 31000: uitvoering van risicobeheer) vastgesteld. Een specifieke norm voor de energiesector (ISO/IEC 27019: informatiebeveiligingscontroles voor energiemaatschappijen) werd als onderdeel van de reeks ISO/IEC 27000 in oktober 2017 vastgesteld.