"Snel digitaliserende samenleving maakt cybersecurity tot topprioriteit"

Agentschap Telecom (AT) werkt aan een veilig verbonden Nederland, dat kan rekenen op betrouwbare telecommunicatie- en IT-netwerken. Het houdt onder meer toezicht op de dekking van mobiele operators, de veiligheid van digitale infrastructuur, het veilige verloop van graafwerkzaamheden, het frequentiegebruik in de scheep- en luchtvaart, het uitrollen van 5G en vele andere zaken op het gebied van digitale weerbaarheid en cybersecurity. Van Dijk: “De kennis die we in huis hebben is uniek. Na twee jaar aan het hoofd van het Agentschap ben ik nog regelmatig onder de indruk van mijn eigen medewerkers. En die kennis van zaken is geen luxe. Nederland wordt steeds meer een digitale mainport en dat vraagt om een goed fundament. Dat fundament zijn wij, als hoeders van het ecosysteem van digitale infrastructuur, apparaten en diensten.”

Toezicht is ook signaleren en agenderen

De gehele samenleving digitaliseert. AT ziet een toenemende en diepgaande maatschappelijke afhankelijkheid en verknoping van verschillende vormen van digitalisering en tegelijkertijd een toename van dreigingen en (potentiële) verstoringen. Van Dijk: “Dat geldt zeker ook voor een van de grootste omwentelingen die Nederland nu en in de komende jaren doormaakt, de energietransitie. Vanuit onze brede verantwoordelijkheid hebben wij dit jaar ons rapport uitgebracht over wat ervoor nodig is om die transitie op een veilige en verantwoorde manier te maken. Als toezichthouder kijken wij niet alleen achteraf of iets goed of fout is gegaan, het is juist ook onze taak om zaken bijtijds te signaleren en agenderen. Daarom doen we onder andere onderzoek naar de toepassing en impact op de elektriciteitsketen en de risico’s van elektrische apparatuur, die zowel aan het elektriciteitsnet als het internet gekoppeld is (zoals laadpalen, warmtepompen, zonne-energiesystemen of thuis-accu’s). Vanuit nationale en internationale gremia werken we aan de standaardisatie van cyberveilige apparatuur en diensten. Bovendien intensiveren we ons onderzoek naar mogelijk verstorende apparatuur. Indien nodig halen we die van de markt. Zo pakken we als toezichthouder onze eigen verantwoordelijkheid in de energietransitie.”

Digitale grondplaat

Het AT is bezorgd over de decentrale aanpak van de energietransitie in Nederland. Regionale plannen sluiten niet altijd goed op elkaar aan en er lijkt een gebrek aan sturing en overzicht. Van Dijk: “Net als de Cyber Security Raad zijn we voor een integrale benadering van geïdentificeerde risico’s. Nieuwe en bestaande vraagstukken vragen om integrale afstemming en samenwerking met partijen binnen de overheid en het bedrijfsleven, zowel nationaal als internationaal. Daarvoor is het opstellen van een digitale grondplaat, waarmee de totale governance van het digitale stelsel van beleid, uitvoering en toezicht in kaart wordt gebracht, behulpzaam. Daarmee worden verantwoordelijkheden, afhankelijkheden en eventuele hiaten zichtbaar.”

Energietransitie en cyberrisico’s

Van Dijk: “De energietransitie heeft veel raakvlakken met ons werk, op gebied van fysieke infrastructuur, continuïteit en integriteit van vitale infrastructuren en veilige apparaten en diensten. Van (radio-)apparatuur, tot graven, van meten van verbruik (metrologie) tot toezicht op bijvoorbeeld energiebedrijven. Als autoriteit van de digitale infrastructuur zijn we een belangrijke speler in het digitale ecoysteem dat we zien ontstaan. Wij zijn ermee bezig om ons daarnaar te herstructureren: te zorgen dat we maximaal aansluiten, meebewegen en bij de juiste partijen aanschuiven. Want er ontstaan nieuwe risico’s en kwetsbaarheden. Nieuwe innovatieve partijen als ‘flexibility operators’, ‘aggregators’ of ‘changepoint operators’ doen hun intrede. En door de toenemende digitalisering in de energiesector nemen de cyberrisico’s toe. Door gehackte apparatuur massaal en gelijktijdig in- of uit te schakelen kan overbelasting op het energienet gecreëerd worden. Dat kan uiteindelijk leiden tot uitval. Ook het gebruik van kunstmatige intelligentie (AI), bijvoorbeeld voor het aansturen en bewaken van de energiebalans op het net geeft zowel kansen, als risico’s.

Zonnepanelen en laadpalen

Er spelen in de energietransitie en andere terreinen waarop digitalisering toeneemt, risico’s waar de gemiddelde consument nooit aan zou denken. Van Dijk: “Neem bijvoorbeeld het probleem van interferentie. Zonnepanelen, maar ook tal van andere apparaten die we dagelijks gebruiken, kunnen stoorsignalen uitzenden. Daar kunnen zelfs vitale communicatiesystemen hinder van ondervinden. Een bizar, maar vooral ook leerzaam, voorbeeld is de Rotterdamse Waalhaven waar schepen van de radar verdwenen. Dat bleek te komen door stoorsignalen van een kunstinstallatie met veel led-licht aan de havenmonding.”

Een ander voorbeeld is het meten en registreren van energiegebruik. Denk aan slimme energiemeters, het opladen van een elektrische auto aan een laadpaal, of het meten van het gebruik van waterstof. Het meten en registreren van dat energieverbruik moet net zo veilig en betrouwbaar zijn als bij het traditionele ‘tanken aan de pomp’. Van Dijk: “Daarom zitten we nu bijvoorbeeld aan tafel bij partijen als het Nationaal Platform voor de Laadpaalinfrastructuur (NAL). En zo zijn er veel meer nieuwe dossiers waar we bij betrokken worden en willen zijn “

De lucht en de grond raken vol

In verband met de energietransitie moeten er nieuwe kabels en leidingen onder de grond gelegd worden. Dat is nodig om elektriciteitsnetten uit te breiden of te verzwaren, of voor de aanleg van warmte- of waterstofnetten. Maar onzorgvuldig graven kan leiden tot schade aan kabels en leidingen die al in de grond liggen. Van Dijk: “Ik moest zelf ook even aan het idee wennen, maar de lucht begint aardig vol te raken met al die signalen en golven. Net als de grond met kabels. Het baart mij zorgen dat de graafsector er de afgelopen jaren nog niet voldoende in geslaagd is graafschade te verminderen.”

CE-markering

Naarmate de overgang naar duurzame energie vordert, worden de kwetsbaarheden groter. Zo zijn er nu al een miljoen huishoudens die zelf stroom opwekken via zonnepanelen. De komende jaren zal dat groeien naar zo'n twee miljoen. Van Dijk: “Nu zijn bedrijven vaak allang blij als hun nieuwe toepassingen voor de energietransitie überhaupt werken en aansluiten op de rest van het stroomnetwerk. Maar dan leggen ze de finish echt te vroeg. Ze moeten de risico’s die al die nieuwe koppelingen en toepassingen met zich meebrengen in kaart hebben en zorgen voor een goede weerbaarheid. De bekende CE-markering, die mede onder ons toezicht valt, ging er vroeger vooral om dat je apparaat veilig was en geen storing veroorzaakte. Dat is nog steeds belangrijk, maar daarnaast is er steeds meer oog voor cybersecurity. Vandaar dat de EU nu ook eisen voor cybersecurity heeft toegevoegd aan de eisen waar apparaten aan moeten voldoen. Dat is een belangrijke stap, die goed past in de Roadmap veilige hard -en software waarin het ministerie van EZK en Agentschap Telecom samen optrekken.”

Industrial Automation & Control Systems (IACS)

Bij cyberweerbaarheid en het veilig maken van de digitale infrastructuur denkt men in eerste instantie aan IT en blijft aandacht voor OT (operational technology in het bedrijfsleven) achter. De CSR heeft voorgesteld om met sectorale IACS-controleraamwerken te werken. Dit is bekend terrein voor Agentschap Telecom. Van Dijk: “Wij werken vanuit het wettelijk kader van de Telecommunicatiewet en de Wbni met een open norm richting telecomaanbieders, netbeheerders en energiebedrijven. En in samenwerking met de graafsector hebben we de CROW500-richtlijn ontwikkeld voor het voorkomen van graafschade aan leidingen en kabels. Voor bijvoorbeeld raffinaderijen en energieleveranciers werken we met geharmoniseerde standaarden en normen, om vorm te geven aan toezicht met een open norm. Ook al is risicomanagement in principe de verantwoordelijkheid van bedrijven zelf, wij kiezen voor een werkwijze van kennis en ervaring delen. Daarom hebben we bijvoorbeeld samen met de CSR en het NCSC een reeks webinars georganiseerd over IACS, waarbij wij onder meer aandacht hebben gegeven aan de ISO/IEC 62443, een norm die binnen de energiesector vaak gebruikt wordt.”

Nieuwe taken: NCCA en AI

In de komende periode blijft Agentschap Telecom als autoriteit in de digitale infrastructuur volop inzetten op de beschikbaarheid, weerbaarheid en veiligheid van technische infrastructuren en het vertrouwen in het gebruik en de veiligheid van diensten en apparaten. Een nieuwe taak daarin wordt de invulling die AT gaat geven aan de Europese Cybersecurity Act (CSA). Van Dijk: “Wij krijgen de rol van Nationale Cybersecurity Certificeringsautoriteit (NCCA). CSA-certificering is nu nog vrijwillig, maar wordt waarschijnlijk verplicht. Met het afgeven van de certificaten gaan wij bijdragen aan zekerheid voor afnemers van producten, diensten en processen dat de cybersecurity is gewaarborgd. Daarnaast zijn er ook veranderingen in wetgeving zoals de nieuwe versie van de Networks & Information Systems richtlijn (NIS) en de ontwikkeling van een specifieke Netcode op Cybersecurity, met specifieke wetgeving voor partijen die een grote rol spelen op het elektriciteitsnet zoals netbeheerders en mogelijk in de toekomst ook andere partijen die grote hoeveelheden vermogen ‘onder de knop’ hebben. Ook heeft de Europese Commissie onlangs uitgesproken dat er in elke lidstaat een duidelijk aanspreekpunt voor artificiële intelligentie zou moeten komen. Dat zijn belangrijke maatschappelijke ontwikkelingen die ons land verder brengen en digitaal veiliger maken. Daar denken wij als Agentschap Telecom graag over mee.”