NIS2 en elektromobiliteit:

NIS2 in de praktijk

Met de NIS2-richtlijn (EU 2022/2555) specificeert de Europese Unie eisen op het gebied van cyberbeveiliging, risicomanagement en managementverantwoordelijkheid in gedefinieerde sectoren. De richtlijn richt zich op organisaties, niet op technologieën of infrastructuren als zodanig.

reev heeft de toepasselijkheid van de NIS2-richtlijn beoordeeld als onderdeel van een interne evaluatie. Op basis van deze beoordeling en rekening houdend met de Duitse omzetting binnen het gewijzigde BSIG-kader beschouwt reev zichzelf als een entiteit binnen het toepassingsgebied, geclassificeerd als een “important entity”. De vereisten van de richtlijn worden geïntegreerd in bestaande governance- en managementstructuren.

Toepassingsgebied en categorisering

NIS2 maakt onderscheid tussen “essential entities” en “important entities”. Voor beide categorieën gelden vergelijkbare beveiligingseisen. Verschillen hebben voornamelijk betrekking op de intensiteit van het toezicht door de autoriteiten.

Of een organisatie binnen het toepassingsgebied valt, hangt af van:

• nationale omzetting
• sectorspecifieke classificatie
• toepasselijke drempelwaarden

De toepasselijkheid moet daarom individueel worden beoordeeld.

Kernvereisten onder NIS2

Risicomanagement en veerkracht

Organisaties moeten passende en gedocumenteerde maatregelen implementeren die met name de volgende gebieden bestrijken:

• preventie van cyberdreigingen
• detectie van beveiligingsincidenten
• respons en herstel
• business continuity en crisismanagement

Deze maatregelen moeten risicogebaseerd zijn en vallen onder de verantwoordelijkheid van het managementorgaan.

Incidentmeldingsverplichtingen

Artikel 23 stelt een meldingsproces in drie fasen vast:

• vroegtijdige waarschuwing binnen 24 uur nadat kennis is genomen van een significant incident
• bijgewerkte melding binnen 72 uur, inclusief een eerste beoordeling van de impact
• eindrapport binnen één maand

Organisaties moeten daarnaast beschikken over gestructureerde interne processen die verantwoordelijkheden, besluitvormingsroutes en documentatiestandaarden definiëren. Meldingsverplichtingen hebben daarom zowel betrekking op timing als op geformaliseerde communicatie met bevoegde autoriteiten.

Managementverantwoordelijkheid

Managementorganen zijn verplicht maatregelen voor cyberrisicomanagement goed te keuren en toezicht te houden op de uitvoering ervan. Nationale omzettingen kunnen daarnaast opleidings- en informatieverplichtingen voor leden van het management introduceren.

Toezichthoudende autoriteiten beschikken over handhavingsbevoegdheden die administratieve boetes, bindende maatregelen, audits en inspecties kunnen omvatten.

Beveiliging van de toeleveringsketen

Organisaties moeten risico’s die voortvloeien uit relaties met derde partijen systematisch aanpakken. Dit omvat:

• beoordeling van de beveiligingsstandaarden van kritieke dienstverleners
• implementatie van passende contractuele waarborgen
• documentatie en monitoring van risico’s in de toeleveringsketen

Documentatie- en bewijseisen maken deel uit van het regelgevend kader.

ISO 27001 en NIS2

reev beschikt over een Information Security Management System (ISMS) dat is afgestemd op ISO 27001. Dit vormt de structurele basis voor risicomanagement, incidentmanagement, business continuity en leveranciersgovernance.

Als onderdeel van een interne gap-analyse zijn de vereisten van de NIS2-richtlijn vergeleken met bestaande ISO 27001-structuren. Hoewel ISO 27001 belangrijke elementen van informatiebeveiligingsmanagement dekt, vervangt het geen afzonderlijk NIS2-compliancekader.

NIS2 introduceert aanvullende formele vereisten, waaronder:

• registratie bij bevoegde autoriteiten
• vastgelegde wettelijke meldtermijnen
• uitgebreide documentatie-eisen
• expliciete managementverantwoordelijkheid
• geformaliseerde communicatie met toezichthoudende autoriteiten

Deze aanvullende vereisten zijn opgenomen in bestaande governance-, rapportage- en leveranciersmanagementprocessen en formeel verankerd in organisatorische structuren.

Systeemarchitectuur in een regelgevende context

Regelgevende verplichtingen moeten operationeel worden ondersteund.

Bij laadoperaties fungeert een backendsysteem — gewoonlijk aangeduid als een CPMS (Charge Point Management System) — doorgaans als de centrale beheer- en besturingslaag van de laadinfrastructuur. Energy Management Systems (EMS) kunnen ook worden geïntegreerd om netaansluiting, lastverdeling en energie-optimalisatie te beheren.

Systeemarchitectuur vormt een technisch onderdeel van de regelgevende uitvoerbaarheid, met name met betrekking tot:

• toegangscontrole
• logging
• traceerbaarheid van beveiligingsrelevante gebeurtenissen
• ondersteuning van gedocumenteerde processen

NIS2-compliance blijft een organisatorische verantwoordelijkheid van de betreffende entiteit en omvat governance-, contractuele en procedurele maatregelen die verder gaan dan de technische laag.

De rol van het energie- en laadplatform van reev

Het energie- en laadplatform van reev is ontworpen om gestructureerde beveiligings- en documentatieprocessen binnen laadoperaties technisch te ondersteunen.

Het maakt onder andere mogelijk:

• implementatie van granulaire toegangscontroles en multi-factor-authenticatie
• gestructureerde logging van beveiligingsrelevante gebeurtenissen
• ondersteuning van auditgerelateerde documentatievereisten
• gecontroleerde integratie van systemen van derden

Deze mogelijkheden ondersteunen de technische implementatie van regelgevende vereisten.

Het platform zelf vormt geen NIS2-compliance. De naleving van wettelijke verplichtingen blijft de verantwoordelijkheid van de betreffende organisatie.

Conclusie

NIS2 specificeert vereisten met betrekking tot risicomanagement, managementverantwoordelijkheid, meldingsprocessen en toezichthoudend toezicht op het gebied van cyberbeveiliging. reev beschouwt de richtlijn als een toepasselijk regelgevend kader en integreert de vereisten ervan in bestaande ISMS- en governancestructuren. Technische systeemarchitectuur ondersteunt deze implementatie, maar vervangt de organisatorische verantwoordelijkheid niet.