Wat is het actuele dreigingsbeeld betreffende offshore olie- en gasplatforms in de Nederlandse Noordzee, mede in het licht van de aanstaande intensivering van gasboring?
Het dreigingsbeeld voor maritieme infrastructuur is onder meer beschreven in jaarverslagen van de AIVD1 en MIVD2, en in stukken zoals het Dreigingsbeeld Statelijke actoren3 en het Cybersecuritybeeld Nederland 20234. In het openbare jaarverslag van de MIVD over 2023 staat dat Rusland deze infrastructuur heimelijk in kaart brengt en activiteiten onderneemt die duiden op spionage en voorbereidingshandelingen voor verstoring en sabotage jegens onze nationale veiligheidsbelangen (economische veiligheid, fysieke en digitale veiligheid) met potentiële impact op de leveringszekerheid.
Welke maatregelen heeft u genomen om de veiligheid van offshore olie- en gasplatforms in de Noordzee te garanderen tegen mogelijke dreigingen?
Om deze dreigingen het hoofd te bieden en onze nationale veiligheidsbelangen te beschermen, werken wij op verschillende niveaus samen om de digitale, fysieke en economische weerbaarheid te versterken. Er lopen verschillende beleidsinitiatieven, wetsvoorstellen en crisisvoorbereidingen om dit te realiseren. Hieruit volgen bepaalde (wettelijke) taken om aanbieders van de energie-infrastructuur zorg te laten dragen om hun (digitale) systemen weerbaar en veerkrachtig te maken.
Hierna zet ik de voornaamste voor u op een rij:
Onder coördinatie van de Minister van IenW wordt binnen het interdepartementale Programma Bescherming Noordzee Infrastructuur gewerkt aan de bescherming van vitale offshore infrastructuur, waaronder energie-infrastructuur, op de Noordzee 5.
Sectorspecifiek wordt gewerkt aan de veiligheid op grond van in Europa aangescherpte wettelijke verplichtingen voor de offshore olie- en gaswinning en opsporing6, die offshore olie- en gasoperators verplicht tot het opstellen van een Rapport inzake Grote Gevaren (RiGG) voor een productielocatie op zee. De richtlijn heeft tot doel de kans op zware ongevallen met betrekking tot olie- en gasactiviteiten verder te verkleinen en de gevolgen hiervan te beperken.
Zoals aangegeven in een brief verzonden aan uw Kamer op 6 december 20227 wordt olie- en gaslevering gezien als een vitale processen voor de leveringszekerheid van energie, bijvoorbeeld de processen transport, opslag en distributie. Voor verschillende gasproductielocaties op zee wordt onderzocht of de aanbieders vitaal zijn, onder andere, in het licht van nieuwe Europese wet- en regelgeving. De olieproductie in de Noordzee heeft een beperkte rol in de voorzieningszekerheid van olie en aardolieproducten in Nederland.
Zodra de productielocaties van gas op de Noordzee worden aangewezen als vitale energieaanbieders, dan vallen die onder de door het Ministerie van Justitie en Veiligheid gecoördineerde versterkte aanpak vitaal. Binnen deze aanpak werken overheden, bedrijven, organisaties en inlichtingen- en veiligheidsdiensten samen aan het beschermen van de vitale infrastructuur. Binnen het digitale domein zien de plichten voor vitale energieaanbieders, die krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) worden aangewezen als aanbieder van een essentiële dienst (AED), onder meer op het treffen van passende maatregelen ter beveiliging van netwerk- en informatiesystemen, op grond van de Wbni. Aanwijzing als AED kan alleen als deze organisatie een vestiging in Nederland heeft. Daarnaast hebben alle vitale aanbieders krachtens diezelfde wet recht op bijstand (informatie, advies, etc.) bij digitale dreigingen of incidenten door het Nationaal Cyber Security Centrum (NCSC). Momenteel wordt ook gewerkt aan een (verdere) verankering van rechten en plichten binnen het digitale en fysieke domein door de nationale implementatie van de CER-richtlijn (Wet weerbaarheid kritieke entiteiten) en de herziene NIS2-richtlijn (Cyberbeveiligingswet) waarover op 31 januari 2024 de laatste stand van zaken met u is gedeeld door de Minister van Justitie en Veiligheid.8 Zoals nu voorzien zal de Nederlandse wetgeving ter implementatie van deze richtlijnen in het tweede of derde kwartaal van 2025 in werking treden. Aan de weerbaarheid van vitale infrastructuur wordt naast de versterkte aanpak vitaal onder coördinatie van het Ministerie van Justitie en Veiligheid gewerkt aan de uitwerking van Rijksbrede beleidsinitiatieven zoals de Nationale Veiligheidsstrategie van het Koninkrijk der Nederlanden9, Aanpak Statelijke Dreigingen10 en de Nederlandse Cybersecuritystrategie11.
Hoe beoordeelt u de huidige internationale samenwerking bij de fysieke bescherming van maritieme infrastructuur, en zijn er plannen om deze samenwerking te intensiveren?
Het kabinet ziet en grijpt kansen om namens Nederland internationaal positie in te nemen en samen te werken op het gebied van de bescherming van maritieme infrastructuur, actief bij te dragen aan het NAVO-bondgenootschap en in andere samenwerkingsverbanden rondom de Noordzee.
De Minister van Infrastructuur en Waterstaat heeft in april jl. samen met België, Denemarken, Duitsland, Groot-Brittannië en Noord-Ierland, en Noorwegen een verklaring ondertekend om gezamenlijk stappen te zetten om onze belangen op de Noordzee nog beter te beschermen. Ook wordt binnen de North Seas Energy Cooperation opgeroepen tot versterkte samenwerking op het gebied van offshore energieveiligheid, waaronder het delen van methodologieën, integratie van security by design en het gezamenlijk ontwikkelen van detectie-technologie.
De bescherming van onderzeese infrastructuur geniet ook binnen het NAVO-bondgenootschap de aandacht. In februari 2023 heeft de NAVO de Critical Undersea Infrastructure Coordination Cell opgericht die een coördinerende rol speelt bij de uitwisseling van informatie en afstemming van activiteiten tussen bondgenoten, partners en private sector partijen. Bovendien wordt er gewerkt aan de oprichting van een nieuw centrum (Maritime Centre for the Security of Critical Undersea Infrastructure). Daarnaast patrouilleren beide noordelijke vlootverbanden van de NAVO geregeld in de Noordzee en Oostzee en dragen daarmee bij aan beeldopbouw en afschrikking. Nederlandse marineschepen maken hier regelmatig deel van uit.
Tot slot maakt Nederland ook deel uit van de Joint Expeditionary Force (JEF), een multinationaal militair samenwerkingsverband van tien gelijkgezinde landen. Binnen deze organisatie wordt samengewerkt voor het tegengaan van spionage en sabotage tegen maritieme infrastructuur.
Zijn er incidenten bekend waarbij Nederlandse offshore-installaties doelwit waren van spionage of verdacht gedrag, bijvoorbeeld met drones (Noorwegen, 2022)12 of scheepsmanoeuvres, en wat zijn de geleerde lessen?
Geconstateerd is dat statelijke actoren actief zijn in het in kaart brengen van vitale marine infrastructuur op de Noordzee (zie ook in het antwoord op vraag 1 genoemde jaarverslagen van de inlichtingen en -veiligheidsdiensten). De betrokken organisaties op de Noordzee blijven waakzaam. Sabotage (digitaal of fysiek) van vitale processen kan de nationale veiligheid van Nederland bedreigen. Voor bedrijven in die sectoren maken de inlichtingen- en veiligheidsdiensten specifieke, op hen toegesneden dreigingsbeelden en (veiligheids)adviezen, zoals ook vermeld in de jaarverslagen van de AIVD en de MIVD. Vanwege veiligheidsredenen kan ik niet ingaan op individuele casussen.
Het kabinet zet in op interdepartementale, publiek-private en internationale samenwerking om met deze dreiging en eventuele incidenten om te gaan. Binnen het interdepartementale Programma Bescherming Noordzee Infrastructuur wordt onder coördinatie van de Minister van IenW gewerkt aan een geïntegreerde aanpak en concrete verbetering betreffende de veiligheid van de infrastructuur op de Noordzee. Onderdeel van het programma is herijking van de huidige crisis-en incidentbestrijdingsplannen op basis van de actuele dreiging.
Hoe beoordeelt u mogelijke cyberveiligheidsrisico's voor offshore windparken in Nederland?
Welke stappen onderneemt het kabinet om de samenwerking tussen universiteiten, cybersecurity experts, en de offshore windindustrie te versterken om cyberdreigingen aan te pakken?
Welk toekomstperspectief kan het kabinet schetsen om de weerbaarheid tegen cyberaanvallen in kritieke infrastructuur zoals windparken te blijven garanderen?
Digitale dreigingen staan veelal niet op zichzelf en zijn onderdeel van een dynamisch, complex en breder dreigingslandschap. Cybersecuritybeleid in de energiesector wordt daarom zoveel mogelijk vanuit een risicogestuurde visie opgepakt. Dit beleid wordt vormgegeven in samenhang met organisaties zoals het Nationaal Cybersecurity Centrum (NCSC), de Rijksinspectie Digitale Infrastructuur, de Nationaal Coördinator Terrorismebestrijding en Veiligheid, de inlichtingen- en veiligheidsdiensten, TNO en de Topsector Energie/TKI offshore Energy.
Ten aanzien van offshore windparken betekent een groeiend opgesteld vermogen in de toekomst potentieel meer impact op de elektriciteitsvoorziening bij cyberincidenten. De noodzaak om cybersecurity verbeterd in te richten bij nieuwe infrastructuur op de Noordzee is evident en daarom heb ik verschillende maatregelen genomen.
Het net op zee en de daarop aangesloten windparken op zee zijn aangewezen als vitale energie-infrastructuur13. Toeleverende partijen voor het net op zee dienen daarom te voldoen aan de voorwaarden die zijn gesteld in de Veiligheidsstrategie voor het Koninkrijk der Nederlanden. Deze bepaling is opgenomen in het ontwikkelkader windenergie op zee14, waarmee ik TenneT formeel opdracht geef voor de aanleg van het net op zee.
Binnen de vitale processen voor transport, distributie en productie van elektriciteit zijnzogeheten AED’s aangewezen onder de Wbni. AED’s moeten hierdoor onder meer voldoen aan de zorgplicht om hun netwerk- en informatiesystemen met passende maatregelen te beveiligen. De Rijksinspectie Digitale Infrastructuur houdt toezicht op de naleving van die plichten door deze aanbieders, zo ook op TenneT en de windparken op zee. Het NCSC staat deze aanbieders, net als andere vitale aanbieders, bij (door informeren, adviseren, etc.) in geval van cybersecuritydreigingen en -incidenten). Als gevolg van de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2-richtlijn) zullen meer energiebedrijven dan nu het geval is in de toekomst moeten voldoen aan wettelijke verplichtingen in relatie tot de beveiliging van hun netwerk- en informatiesystemen. Specifiek betekent dit dat bijvoorbeeld elektriciteitsbedrijven met productie-installaties (met uitzondering van micro- en kleine bedrijven) onder de verplichtingen in NIS2-richtlijn zullen komen te vallen. De uit de NIS2-richtlijn voortvloeiende verplichtingen bestaan uit een meldplicht bij significante incidenten en een plicht om passende maatregelen te nemen om risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig zijn van leveranciers. Ter implementatie van NIS2-richtlijn zal naar verwachting in het tweede of derde kwartaal van 2025 de Cyberbeveiligingswet in werking treden.
Tevens wordt gewerkt aan de implementatie van de sectorspecifieke gedelegeerde handeling over grensoverschrijdende cybersecurity in de elektriciteitssector (Netcode). De Netcode stelt (ten opzichte van NIS2 concretere) bindende grensoverschrijdende cybersecurityvoorschriften vast voor elektriciteitsentiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet. De Netcode zal naar verwachting in het vierde kwartaal van 2024 in werking treden. Onder andere Rijksinspectie Digitale Infrastructuur en de Autoriteit Consument en Markt zullen toezicht gaan houden en het Nationaal Cyber Security Centrum zal cyberhulp en bijstand verlenen.
Daarnaast gelden voor nieuwe windparken op zee, te beginnen met de kavels IJmuiden Ver Alpha en Beta, regels in het Kavelbesluit voor het hebben en het toepassen van een veiligheidsstrategie voordat de bouw van het windpark start geldend tot einde levensduur van het windpark. Onderdeel van deze verplichte veiligheidsstrategie zijn cybersecurity, economische veiligheid en fysieke weerbaarheid.
Tevens is de Uitvoeringsregeling windenergie op zee aangepast met ingang van 1 januari 2024, wat het mogelijk maakt om bij wijziging van zeggenschap of overdracht van vergunning een marktpartij te toetsen op risico’s voor de openbare veiligheid, voorzieningszekerheid of leveringszekerheid, ook voordat een windpark operationeel is. Deze toets zal worden uitgevoerd bij de vergunningverlening van toekomstige windparken op zee en bij een wijziging van zeggenschap van reeds vergunde windparken op zee.
Als laatste hebben verschillende belanghebbenden FLECS (Field Lab Energy Cyber Security) geïnitieerd. FLECS wordt mogelijk in de toekomst een kenniscentrum voor cybersecurity in windenergie op zee. Het doel is kennis te ontwikkelen en oplossingen te creëren om een digitaal veerkrachtig offshore energiesysteem te bereiken samen met overheidspartijen, marktpartijen en academische en kennisinstellingen. Vanuit kennis- en innovatie doelstellingen van de Nederlandse Cybersecuritystrategie15 is dit initatief ondernomen.
Bent u zich ervan bewust dat als offshore windparken steeds meer in het energiesysteem worden geïntegreerd, de potentiële impact van een cyberaanval toeneemt? Kunt u antwoord uitgebreid toelichten?
Hoe schetst het kabinet de huidige balans tussen het standaardiseren voor efficiëntie en het diversifiëren om veiligheidsrisico's te minimaliseren?
De Nederlandse energie-infrastructuur is robuust en betrouwbaar. Bij het ontwerp van het Nederlandse elektriciteitssysteem wordt rekening gehouden met systeemveiligheid, zoals redundantie. Daarbij is het Nederlandse elektriciteitssysteem in hoge mate verbonden met elektriciteitssystemen van buurlanden. De maatregelen beschreven in het antwoord op vraag 5, 8 en 9 neem ik om de cyber veiligheid van offshore windparken te verhogen.
Ten aanzien van de potentiële impact van een cyberaanval op het energiesysteem is het daarnaast relevant toe te lichten dat TenneT op basis van Europese wetgeving reservevermogen inkoopt om eventuele uitval van elektriciteitscentrales (daarmee ook windparken op zee en bijbehorende platforms) op te vangen en systeemveiligheid te borgen. Vanaf het moment dat de momenteel geplande 2 GW transformatorplatformen aangesloten en gebruikt gaan worden, zal er (bij veel wind) meer reservevermogen door TenneT moeten worden ingekocht. Bovendien zorgt de geïntegreerde West-Europese elektriciteitsmarkt ervoor dat verstoringen op Europese schaal worden opgevangen16 17.
Nederland zet voor de komende windparken in op de 2GW HVDC platform standaard van Tennet. Net als voor de 0.7GW AC platform standaard, die voor de huidige parken wordt gebruikt, is (cyber)veiligheid in de ontwikkeling van de platformen een hoge prioriteit.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20232024-1866.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.