De network code on cybersecurity (Netcode) is een Europese gedelegeerde verordening die de digitale weerbaarheid van de vitale Europese elektriciteitsinfrastructuur verbetert. Vanwege de onderlinge verwevenheid van het energiesysteem in Europa zijn gemeenschappelijke afspraken over cybersecurity nodig om de veiligheid, continuïteit en betrouwbaarheid ervan te waarborgen. Op deze manier wordt de voorzienings- en leveringszekerheid van elektriciteit in Europa behouden en beschermt tegen cyberaanvallen.
De Netcode richt zich op bedrijven die een grote impact kunnen hebben op de stabiliteit van het Europese elektriciteitsnet, zoals grote elektriciteitsproducten en distributie- en transmissiesysteembeheerders. Het Ministerie van Klimaat en Groene Groei (KGG) wijst op basis van Europese indexen organisaties aan die onder de werking van de Netcode vallen. Deze organisaties worden in de eerste helft van 2025 geïnformeerd of zij voorlopig zijn aangewezen.. Met deze voorlopige aanwijzing krijgen deze organisaties rechten, zoals recht op ondersteuning bij het Nationaal Cybersecurity Centrum (NCSC), en nog geen plichten. Uiterlijk 13 juni 2028 worden entiteiten definitief aangewezen. Vanaf het moment dat zij definitief aangewezen zijn, moeten zij voldoen aan de eisen uit de Netcode.
Wij zijn, als Nationaal Cyber Security Centrum, aangewezen als sectoraal Computer Security Incident Response Team (CSIRT) voor de (voorlopig) aangewezen Netcode-organisaties. Vanaf 13 juni 2025 zijn wij officieel operationeel. De bovengenoemde organisaties kunnen nu ook al bij ons terecht voor ondersteuning bij cyberincidenten of digitale dreigingen. Kijk hier meer informatie over onze dienstverlening, of lees de factsheet over Incidentmanagement.
Vragen en antwoorden
De Netcode biedt gemeenschappelijke Europese regels voor het versterken van de cyberbeveiliging en digitale weerbaarheid. Hier moeten alle EU-lidstaten aan voldoen gezien de rechtstreekse werking. Samenwerking tussen EU-lidstaten staat centraal. Het gaat hierbij onder andere om het gezamenlijk uitvoeren van risicobeoordelingen op het gebied van cyberbeveiliging, het opzetten van een grensoverschrijdend risicobeheerproces, het melden van cyberincidenten en informatie-uitwisseling op het gebied van cyberbeveiliging voor een gecoördineerde respons. De Netcode geeft daarbij duidelijkheid over de rollen en verantwoordelijkheden van verschillende stakeholders voor deze taken.
De Netcode is aanvullend op de NIS2-richtlijn die in Nederland via de Cyberbeveiligingswet wordt geïmplementeerd. De NIS2-richtlijn geldt voor meerdere vitale sectoren, waaronder de energiesector. De Netcode schrijft aanvullende sectorspecifieke regels voor aan de elektriciteitssector. Er zit overlap in de verplichtingen, de te nemen maatregelen en de entiteiten die onder de NIS2-richtlijn en Netcode vallen. Een belangrijk verschil is dat de maatregelen uit de Netcode alleen betrekking hebben op de digitale omgeving (netwerk- en informatiesystemen) die gebruikt wordt om specifieke processen die essentieel zijn voor de dienstverlening uit te voeren. Dit is in tegenstelling tot de NIS2-richtlijn die voor de gehele digitale omgeving van een organisatie geldt.
Organisaties kunnen altijd vrijwillig (potentiële) incidenten melden bij het sectorale CSIRT, het NCSC. Uiterlijk vanaf 13 juni 2028* moeten definitief aangewezen organisaties (dreigende) cyberincidenten melden. Het gaat om cyber-incidenten met (potentiële) grensoverschrijdende gevolgen. De melding dient binnen vier uur gedaan te worden nadat de organisatie zich bewust is geworden dat het incident moet worden gemeld. De melding dient gedaan te worden bij de aangewezen sectorale CSIRT, het NCSC, en bij de bevoegde instantie**. Het NCSC ondersteunt de partij bij het verkleinen van de impact.
* Als de definitieve aanwijzing voor 13 juni 2028 plaatsvindt, dan moet er vanaf dat moment gemeld worden
** Als de energiewet in werking treedt is KGG de bevoegde instantie. (daarvoor is ACM de bevoegde instantie).
Nee, een aangewezen organisatie onder de Netcode valt niet automatisch ook onder de NIS2/Cyberbeveiligingswet. Er gelden andere criteria voor de NIS2/Cyberbeveiligingswet en de Netcode. De drempels voor de (voorlopige) aanwijzing onder de Netcode zijn vrij hoog, waardoor partijen die onder de NIS2 vallen niet altijd ook onder de Netcode aangewezen zullen worden. Toch zal een groot deel van de organisaties zullen onder beiden vallen. Er zit namelijk overlap in de type organisaties binnen de energiesector die onder de Netcode en de NIS2/Cyberbeveiligingswet kunnen vallen.
Het Nationaal Cyber Security Centrum (NCSC) is aangewezen als de sectorale CSIRT voor de Netcode. Die zal per 13 juni 2025 officieel operationeel zijn. Voor die tijd kunnen altijd op vrijwillige basis meldingen gedaan worden waarbij vanuit het NCSC ondersteuning wordt aangeboden.
In de eerste helft van 2025 zullen organisaties voorlopig worden aangewezen door het ministerie van Klimaat en Groene Groei. Met een voorlopige aanwijzing krijgen deze entiteiten rechten en geen plichten. De entiteiten krijgen na de aanwijzing onder meer het recht op ondersteuning door het Nationaal Cyber Security Center (NCSC). De voorlopige aanwijzingen gebeuren op voorlopige Europese vastgestelde drempelwaarden (De Provisional European Cybersecurity Impact Index, ECII). Deze voorlopige drempelwaarden bepalen of een organisatie
voorlopig als entiteit met zeer belangrijke impact of met kritieke impact aangewezen wordt. De voorlopige drempelwaarden voor Nederland zijn relatief hoog (1500 MW voor een entiteit met zeer belangrijke impact en 3000 MW voor een entiteit met kritieke impact). De definitieve aanwijzing zal gebeuren aan de hand van de definitieve European Cybersecurity Impact Index (ECII). Deze is op dit moment nog niet opgesteld, maar kan afwijken van de voorlopige ECII.
In de fase waarin partijen voorlopig aangewezen zijn, zijn tijdelijke bepalingen van kracht en geldt dat partijen vrijwillig de eisen uit de Netcode kunnen nakomen. Uiterlijk 13 juni 2028 worden entiteiten definitief aangewezen als entiteit met zeer belangrijke impact of met kritieke impact. Vanaf het moment van aanwijzing geldt dat zij aan de verplichtingen uit de Netcode moeten voldoen. Als de aangewezen entiteiten niet voldoen op het moment dat de beveiligingsmaatregelen wel verplicht zijn, dan kan het leiden tot handhaving door de bevoegde instantie. Op dit moment is de ACM de instantie die bevoegd is om te handhaven op grond van de Netcode. Vanaf de inwerkingtreding van de Energiewet zal niet de ACM, maar de RDI hiertoe bevoegd zijn.
De Netcode richt zich op bedrijven die binnen de elektriciteitssector actief zijn en impact kunnen hebben op grensoverschrijdende elektriciteitsstromen. Op basis van de De Provisional European Cybersecurity Impact Index (ECII) kunnen de volgende organisaties eronder vallen: Distributie- en transmissiesysteembeheerders, grote elektriciteitsproducenten, aggregatoren, nominated electricity market operators (NEMO’s), organised markets, balansverantwoordelijke partijen (BRP’s) en charge point operators (CPO’s). Het Ministerie van Klimaat en Groene Groei (KGG) wijst organisaties aan die moeten voldoen aan de Netcode. Een organisatie wordt aangewezen als entiteit met zeer belangrijke impact of met kritieke impact als deze de ECII-drempelwaarden haalt. De ECII-drempelwaarden en het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s worden beiden door de ENTSO-E en de EU DSO Entiteit opgesteld.
De voorlopige aanwijzing van partijen zal plaatsvinden in de eerste helft van 2025. In deze fase kunnen de voorlopig aangewezen entiteiten op basis van het voorzorgsbeginsel de eisen uit de Netcode op vrijwillige basis nakomen, zoals het voldoen aan de op dat moment nog niet bindende cyberbeveiligingscontroles Uiterlijk 13 juni 2028 worden de entiteiten op de hoogte gesteld van hun definitieve aanwijzing onder de Netcode, en geldt dat zij verplicht zijn om aan de eisen uit de Netcode moeten voldoen. Vanaf juni 2025 kunnen entiteiten die onder de Netcode vallen contact opnemen met het NCSC - als CSIRT - voor ondersteuning.
De meldplicht geldt vanaf het moment dat een entiteit definitief aangewezen is. Dit is uiterlijk 13 juni 2028.
