De Rijksinspectie Digitale Infrastructuur (RDI) neemt het securityniveau van olie- en gasopslagbedrijven onder de loep. Een risicoanalyse zal nog volgen.
Er vonden gesprekken plaats tussen de RDI en 21 aanbieders in de olie- en gaslevering. Een hoog securityniveau is bij deze kritieke sector uitzonderlijk belangrijk. Een enkel cyberincident kan immers “grote, ontwrichtende effecten op de economie en maatschappij” hebben, aldus de RDI.
Als toezichthouder van deze sector op basis van de Wet beveiliging netwerk- en informatiesystemen (Wbni) is het aan de RDI om het “vitale proces” van olie- en gaslevering cyberveilig te houden.
Grote multinationals en kleinere organisaties
De ondervraagde partijen zijn van allerlei soorten en maten, van multinationals tot kleinere lokale organisaties. De RDI sprak met hen over het belang van certificering, waarbij ISO 9001 en ISO 27001 meermaals werden genoemd. Uit de gesprekken bleek dat enkele bedrijven in de olie- en gassector al hierop gecertificeerd zijn, maar andere partijen zijn er al mee bezig.
Daar waar eerstgenoemde een algemeen systeem is om best practices binnen de managementstructuur te waarborgen, geldt ISO 27001 als een overkoepelende security-standaard. De NIS2-richtlijn concretiseert bepaalde eisen van deze standaard, zoals het verifiëren van de eigen cyberweerbaarheid.
Tip: NIS2-richtlijn en risicobeheer: hoe bedrijven zichzelf succesvol kunnen beschermen
NIS2 heeft meer tijd nodig
De deadline om de NIS2-richtlijn in nationale wetgeving om te zetten, passeert op 17 oktober 2024. Nederland zal deze deadline niet halen. Techzine sprak onlangs met Angeline van Dijk, Inspecteur-Generaal bij de RDI, over deze eis. Volgens haar is het uitstel juist positief nieuws: “Het geeft ruimte om het toezichtkader scherper te krijgen, dus we krijgen eigenlijk meer tijd om de puntjes op de i te zetten.”
Lees verder: Rijksinspectie Digitale Infrastructuur over vertraging NIS2: ‘Meer tijd om puntjes op de i te zetten’
Die puntjes op de i zullen ook nog bij de olie- en gassector plaatsvinden. Na deze gespreksronde zijn de gesproken olie- en gasopslagbedrijven gevraagd om een vragenlijst in te zullen over hun omgang met netwerk- en informatiesystemen. De resultaten daaruit zullen de vervolgstappen van de RDI bepalen.