Het ministerie van Economische Zaken is een onderzoek gestart of oliebedrijven wettelijk verplicht kunnen worden om hun systemen en netwerken te beveiligen. Dat laten demissionair ministers Blok van Economische Zaken en Grapperhaus van Justitie en Veiligheid weten op Kamervragen van de PvdA.

PvdA-Kamerlid Kathmann had vragen gesteld naar aanleiding van onderzoek van DCMR Milieudienst Rijnmond waaruit blijkt dat bedrijven die met gevaarlijke stoffen werken hun cybersecurity niet altijd op orde hebben en hier meer aandacht aan moeten geven. Kathmann wilde weten hoe het kan dat bij een groot deel van de bedrijven er onvoldoende aandacht is voor cybersecurity en of de ministers het ermee eens zijn dat bedrijven die werken met gevaarlijke stoffen juist extra goed beveiligd moeten zijn op het digitale vlak.

"Voor een bedrijf waar gewerkt wordt met gevaarlijke stoffen, kan het grote gevolgen hebben als dat bedrijf de cybersecurity niet goed op orde heeft en het doelwit wordt van digitale aanvallen. Het is dus zeker van belang dat deze bedrijven adequate maatregelen treffen ter beveiliging van hun netwerk- en informatiesystemen", reageren de ministers. Die voegen toe dat bedrijven primair zelf verantwoordelijk zijn voor een veilige bedrijfsvoering en dus ook voor het treffen van adequate maatregelen met betrekking tot cybersecurity.

Wel onderzoek het ministerie van Economische Zaken of bedrijven met het beheer van oliepijpleidingen en/of met productie, opslag, transport, raffinage of behandeling van olie, kunnen worden aangewezen als aanbieders van essentiële diensten (AED) en zo aan de Wet beveiliging netwerk- en informatiesystemen (Wbni) moet voldoen.

De Wbni is de Nederlandse vertaalslag van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn), die voor meer eenheid in beleid over netwerk- en informatiebeveiliging moet zorgen. Het is gericht op aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, online zoekmachines en online marktplaatsen.

Niet alleen zijn deze partijen door de Wbni verplicht om ernstige incidenten te rapporteren aan het Nationaal Cyber Security Centrum (NCSC) en het Agentschap Telecom, ze moeten ook maatregelen nemen om hun ict-infrastructuur tegen aanvallen en incidenten te beveiligen. Mochten oliebedrijven als AED worden aangewezen, dan zullen zij de plicht hebben om beveiligingsmaatregelen te treffen met betrekking tot hun netwerk- en informatiesystemen, schrijven Blok en Grapperhaus.

Daarnaast zal het Nationaal Cyber Security Centrum (NCSC) bedrijven binnen de onderzochte groep die als vitale aanbieder zijn of worden aangewezen informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Tevens verleent het NCSC, waar nodig, ook op andere wijze bijstand aan deze aanbieders bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen, laten de ministers verder weten.