Nieuwe cyberwetgeving vraagt aandacht van energieopslagsector
De Cyberbeveiligingswet (Cbw) treedt op 15 augustus 2026 in werking. Daarmee krijgen veel organisaties in Nederland, waaronder partijen in de energieopslagsector, te maken met nieuwe verplichtingen rond cybersecurity, digitale weerbaarheid en incidentmelding. Ook de Wet weerbaarheid kritieke entiteiten (Wwke) treedt op die datum in werking en kan voor aangewezen kritieke organisaties aanvullende verplichtingen meebrengen.
Cyberbeveiligingswet
De Cyberbeveiligingswet (Cbw) implementeert de Europese NIS2-richtlijn in Nederland en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet geldt voor organisaties die essentiële of belangrijke diensten leveren in onder meer de energiesector. Of een organisatie onder de wet valt, hangt onder andere af van de sector waarin zij actief is en van omvangscriteria zoals het aantal medewerkers, de jaaromzet en het balanstotaal. Organisaties vallen in beginsel onder de wet wanneer zij minimaal 50 werknemers hebben of een jaaromzet van minimaal €10 miljoen realiseren. Organisaties in de energie(opslag)sector kunnen hierbij aangemerkt worden als belangrijke of essentiële entiteiten, afhankelijk van de verdere omvangscriteria.
Dat onderscheid is belangrijk voor de manier waarop toezicht wordt gehouden. Essentiële entiteiten staan onder proactief toezicht, terwijl belangrijke entiteiten onder reactief toezicht vallen. Voor de energiesector is de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. Toezichthouders kunnen bij overtredingen verschillende maatregelen inzetten, zoals een beveiligingsscan of -audit, openbaarmaking van een overtreding of een bestuurlijke boete.
Registratie-, zorg- en meldplicht
Voor organisaties die onder de Cyberbeveiligingswet vallen, gelden drie kernverplichtingen. Allereerst moeten zij zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC). Daarnaast geldt een zorgplicht: organisaties moeten passende en evenredige maatregelen nemen om cyberrisico’s te beheersen. Risicomanagement vormt daarbij de basis. De wet noemt tien zorgplichtmaatregelen waaraan organisaties ten minste aandacht moeten besteden, waarin organisaties zelf verantwoordelijk zijn voor de invulling van de maatregelen voor hun specifieke situatie.
Ook geldt een meldplicht voor significante incidenten. Deze moeten worden gemeld bij het Computer Security Incident Response Team (CSIRT) en bij de bevoegde toezichthouder. In beginsel moet een vroegtijdige waarschuwing zo snel mogelijk en uiterlijk binnen 24 uur na waarneming van het incident worden gedaan. Voor partijen die onder de Netcode voor Cybersecurity (NCCS) voor grensoverschrijdende elektriciteitsstromen vallen, geldt een kortere meldtermijn van vier uur.
Bestuurlijke verantwoordelijkheid
Ook de bestuurlijke verantwoordelijkheid wordt nadrukkelijker vastgelegd. Cyberbeveiliging is daarmee niet alleen een verantwoordelijkheid van de IT-afdeling of de CISO, maar ook nadrukkelijk van het bestuur. Bestuurders blijven eindverantwoordelijk voor cyberbeveiliging en moeten voldoende inzicht hebben in de risico’s, maatregelen en incidentprocessen binnen hun organisatie. Daarnaast moeten zij binnen twee jaar na inwerkingtreding van de wet een passende training volgen en de maatregelen goedkeuren die de organisatie neemt om te voldoen aan de zorgplicht.
Wet weerbaarheid kritieke entiteiten
Naast de Cyberbeveiligingswet treedt ook de Wet weerbaarheid kritieke entiteiten (Wwke) in werking. Deze wet implementeert de Europese CER-richtlijn en richt zich op de bescherming van kritieke infrastructuur en essentiële economische activiteiten tegen bredere dreigingen, zoals terroristische misdrijven, sabotage, natuurrampen en andere ernstige verstoringen. Een organisatie valt pas onder deze wet wanneer zij door de verantwoordelijke vakminister formeel wordt aangewezen als kritieke entiteit.
De aanwijzing van kritieke entiteiten vindt plaats op basis van nationale en sectorspecifieke risicobeoordelingen. Uiterlijk een maand na inwerkingtreding van de wet worden organisaties aangewezen. Daarna hebben zij tien maanden de tijd om aan de verplichtingen uit de wet te voldoen, zoals het uitvoeren van een eigen risicobeoordeling, het nemen van passende maatregelen en het melden van incidenten die de essentiële dienstverlening ernstig kunnen verstoren. Ten minste iedere vier jaar wordt opnieuw beoordeeld of andere organisaties als kritieke entiteit moeten worden aangewezen.
Wat betekent de wetgeving voor energieopslag?
Batterijen, opslagplatforms, aggregatie, aansturing en dataverbindingen worden steeds belangrijker voor het functioneren van het energiesysteem. Daarmee neemt ook het belang toe van goede cybersecurity, duidelijke incidentprocessen en bestuurlijke aandacht voor digitale risico’s. Energy Storage NL verwelkomt daarom dat er duidelijke regels komen om de cybersecurity in de energiesector verder te versterken. Tegelijkertijd vraagt dit van bedrijven dat zij tijdig nagaan of zij binnen de scope van de Cyberbeveiligingswet vallen en alvast zorgen dat interne processen, risicoanalyses en meldprocedures op orde zijn.
Ook bedrijven die zelf niet rechtstreeks onder de Cyberbeveiligingswet vallen, kunnen er indirect mee te maken krijgen. Een van de zorgplichtmaatregelen ziet namelijk op de beveiliging van de toeleveringsketen. Grotere of aangewezen organisaties zullen daardoor naar verwachting ook eisen stellen aan leveranciers, dienstverleners en andere ketenpartners. Kleinere bedrijven in de energieopslagketen kunnen zo alsnog worden meegenomen in afspraken over cyberveiligheid, informatiebeveiliging en incidentrespons.
Laatste nieuws
Nieuws
Nieuwe cyberwetgeving vraagt aandacht van energieopslagsector
14 juli 2026
Nieuws
Onderzoeksrapport Archetypen Energieopslag: zonder opslag van elektriciteit, warmte en moleculen geen energietransitie
13 juli 2026
Nieuws


