De Rijksinspectie Digitale Infrastructuur (RDI) heeft afgelopen maand de inventarisatiegesprekken over cybersecurity in de olie- en gassector afgerond. De toezichthouder sprak 21 aanbieders van essentiële diensten, waaronder raffinaderijen, olieopslagplaatsen en beheerders van pijpleidingen. De dienst gaat nu een risicoanalyse uitvoeren om te bepalen op welke aspecten de focus komt te liggen.
Dat heeft de RDI vandaag bekendgemaakt in een persverklaring.
Ministerie wijst olie- en gasbedrijven aan als AED’s
Aanleiding voor de kennismakingsgesprekken is het feit dat het ministerie van Economische Zaken en Klimaat olie- en gasopslagbedrijven vorig jaar heeft aangewezen als aanbieders van essentiële diensten (AED’s). Dat houdt in dat de RDI sinds 1 januari 2023 er op toeziet dat de olie- en gassector zich aan de Wet beveiliging netwerk- en informatiesystemen (Wbni) houdt.
De Wbni geeft aanbieders van essentiële diensten -zoals telecombedrijven, energieleveranciers en financiële instellingen- de taak om de digitale weerbaarheid van bedrijven en organisaties die actief zijn in de vitale sector op peil te houden. Het delen van relevante en actuele dreigingsinformatie met sectorgenoten is daar onderdeel van, evenals het nemen van veiligheidsmaatregelen om maatschappelijke ontwrichting te voorkomen.
De Wbni heeft één belangrijke beperking: deze wet- en regelgeving geldt alleen voor de vitale infrastructuur. Om ook de niet-vitale sector te behoeden voor digitale aanvallen en dreigingen, is de ‘Wet bevordering digitale weerbaarheid bedrijven’ (Wbdwb) in de maak. In maart gaf een ruime meerderheid van de Tweede Kamer het groene licht voor deze wetgeving.
Veel olie- en gasbedrijven bekend met certificeringen
De levering van olie en gas is volgens het ministerie van Economische Zaken en Klimaat een vitaal proces ‘dat belangrijk is voor de leveringszekerheid van energie’. “Een digitale verstoring daarin kan leiden tot grote, ontwrichtende effecten op de economie en maatschappij”, zo legt de RDI uit.
Aandacht voor cybersecurity op bestuursniveau is volgens de toezichthouder dan ook belangrijk. Om te kijken hoe het gesteld is met de digitale beveiliging, heeft de RDI kennismakingsgesprekken gevoerd met bestuursleden van 21 partijen uit de olie- en gassector. Daarin is gesproken over de organisatie- en governancestructuur, de inrichting van de essentiële diensten en de omvang van de dienstverlening.
“Het was goed te zien dat veel bedrijven aangeven bekend te zijn met certificering”, concludeert de toezichthouder. “Met name de ISO 9001 is een bekende en veelgebruikte standaard binnen de sector. Op het gebied van digitale weerbaarheid wordt de ISO 27001 genoemd. Enkele bedrijven in de olie- en gassector zijn reeds hierop gecertificeerd, anderen bedrijven zijn ermee bezig.”
RDI gaat van start met risicoanalyse
Na de kennismakingsgesprekken overhandigde de RDI vragenlijsten aan de bestuurders van olie- en gasbedrijven. De vragen gingen over de beveiliging van hun netwerk- en informatiesystemen. De antwoorden op deze vragen vormden de basis voor gesprekken met de verantwoordelijke voor cybersecurity.
“We bespraken onder andere hoe vaak er wijzigingen worden gedaan op de OT-infrastructuur, het aantal storingen, het gebruik van de cloud en welke derde partijen betrokken zijn bij de digitale weerbaarheid van hun organisatie”, zo schrijft de RDI. Verder werd er gesproken over het in kaart hebben van de risico’s op het gebied van cybersecurity, getroffen maatregelen om garant te staan voor digitale weerbaarheid en continuïteit van de dienstverlening.
Afgelopen maand rondde de RDI alle 21 kennismakingsgesprekken af. Op basis daarvan gaat de toezichthouder een risicoanalyse uitvoeren om haar ‘focus voor het vervolg’ te bepalen. Het is onbekend wanneer de risicoanalyse is afgerond.
