wind-turbine.com
deutschenglishespañolfrançaisitalianopolskiportuguêsру́сскийdansk
Aankondigen
Adverteren
Zoeken
wind-turbineMatch
Bij ons vindt u de juiste aanbieder!
Maak een aanvraag en wij brengen u in contact met vrij relevante aanbieders.
Maak nu een aanvraag aan
  • vrij
  • Snel & gemakkelijk
  • Geverifieerde aanbieders
  • voorlopig
Aankondigen
  1. Thuis
  2. Tijdschrift
  3. Nieuws uit de markt
  4. NIS 2-richtlijn: wat exploitanten van ...

NIS 2-richtlijn: wat exploitanten van windparken en windturbines nu moeten weten

25.05.2025

Een informatief overzicht voor marktdeelnemers in de Duitse windindustrie, zoals werkmaatschappijen, dienstverleners en energieleveranciers. Met de NIS 2-richtlijn (EU) 2022/2555 inzake "Versterking van de cyberbeveiliging in de Unie" streeft de EU het doel na om de weerbaarheid van kritieke infrastructuren tegen cyberdreigingen aanzienlijk te vergroten. De richtlijn vervangt de vorige NIS-richtlijn van 2016 en moet uiterlijk in oktober 2024 in nationaal recht zijn omgezet – in Duitsland via de zogenaamde NIS-2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG).

Dit artikel werpt licht op wie er in de windindustrie wordt getroffen, welke sectoren en faciliteiten binnen het toepassingsgebied vallen en welke eisen uit de richtlijn voortvloeien. Daarbij verwijzen wij nadrukkelijk naar de verklaring van de Duitse Windenergievereniging (BWE) van juli 2024 over het wetsontwerp van de BMI.

1. Wie is waarop de NIS 2-richtlijn van toepassing is?

De richtlijn is van toepassing op alle ondernemingen die kritieke diensten in specifieke sectoren en een specifieke bedrijfsgrootte. In het bijzonder zijn de volgende zaken van cruciaal belang:

  • Sectorale affiliatie (zoals elektriciteitsopwekking)
  • grootte van de onderneming (bv. aantal werknemers, jaaromzet, balanstotaal)
  • belang van de instelling (geclassificeerd als "belangrijk" of "bijzonder belangrijke" instelling)

Classificatie van bedrijven

De Duitse Uitvoeringswet maakt een onderscheid:

  • "Bijzonder belangrijke voorzieningen": groot belang voor de Leveringszekerheid en IT-kritiek.
  • "Belangrijke instellingen": minder kritisch, maar nog steeds relevant voor sociale functies.

Windenergiebedrijven vallen onder de recht als zij:

  • Exploitanten van elektriciteitscentrales (§ 3 nr. 18d EnWG),
  • Diensten voor dergelijke exploitanten (bv. SCADA-systemen, operationeel beheer),
  • IT-gebaseerde processen met externe toegang (bijv. afstandsbediening, gegevensoverdracht).

Bijzonder Uitdaging voor werkmaatschappijen

In de windindustrie is het gebruikelijk dat windparken kunnen worden afgesplitst in onafhankelijke bedrijven (bijv. GmbH & Co. KG). Deze bedrijven alleen vallen meestal niet onder de regelgeving, omdat ze te klein zijn. § 28 van het wetsontwerp bepaalt echter: dat in het geval van aangesloten bedrijven , het aantal werknemers en verkopen kan naar rato worden toegerekend aan de moedermaatschappij – op voorwaarde dat er geen sprake is van zelfstandigheid .

In de praktijk zijn deze dochterondernemingen maar vaak volledig afhankelijk van de IT-systemen van het moederbedrijf, met als gevolg – zelfs als ze zelf geen controle hebben over IT hebben.


2. Welke Sectoren worden getroffen?

De NIS 2-richtlijn is van toepassing op instellingen uit 18 sectoren, onderverdeeld in twee categorieën:

2.1 Sectoren met een hoge kriticiteit ("bijzonder belangrijke instellingen")

Het gaat onder meer om:

  • energie (elektriciteit, inclusief energieopwekking, -transmissie en -distributie)
  • Digitale infrastructuur
  • Vervoer
  • Financiën en verzekeringen

2.2 Overig kritieke sectoren ("sleutelentiteiten")

Waaronder:

  • Vervaardiging van onderdelen voor Energietechnologie
  • Afvalverwerking
  • Post- en koeriersdiensten
  • Chemie, voeding, gezondheidszorg

Voor de windindustrie relevant:

  • Exploitanten van elektriciteitscentrales
  • IT-dienstverleners op het gebied van SCADA-systemen, software voor conditiebewaking, operationeel beheer
  • Bedrijven met toegang tot bediening op afstand van planten

3. Welke Zijn er vereisten?

3.1 Technische en organisatorische maatregelen

Getroffen bedrijven moeten risicobeheersmaatregelen implementeren in overeenstemming met artikel 30 van het wetsontwerp. Waaronder:

  • Concepten voor risicobeoordeling en IT-beveiliging
  • Zorgen voor bedrijfscontinuïteit (bijv. back-ups, noodplannen)
  • Toegangs- en toegangscontrole
  • training van medewerkers en Verificatie van het personeel
  • Beheer van beveiligingsincidenten

Speciale functie voor de windindustrie: exploitanten die taken uitvoeren bij de externe operatoren of IT-dienstverleners, de uitvoering van deze maatregelen.

3.2 Certificering van cyberbeveiliging

Artikel 30 (6) van het wetsontwerp voorziet in een Verplichting om ICT-producten, -diensten en -processen te certificeren voor: op basis van Europese regelingen overeenkomstig artikel 49 van Verordening (EU) 2019/881. Deze verplichting heeft betrekking op:

  • producten zoals controllers van windparken, SCADA-systemen
  • Software voor operationeel beheer
  • Oplossingen voor externe toegang

Momenteel ontbreekt de concrete regelgeving nog en planningen – daarom is de onzekerheid groot bij bedrijven. De BWE roept op tot vroegtijdige duidelijkheid, zodat bedrijven kunnen beginnen met de implementatie kunnen.

3.3 Rapportageverplichtingen

Faciliteiten moeten op de hoogte zijn van beveiligingsincidenten Binnen bepaalde termijnen:

  • Binnen 24 uur: Vroegtijdige waarschuwing
  • Binnen 72 uur: gedetailleerd rapport
  • Binnen 30 dagen: Eindrapport

Deze verplichtingen gelden alleen voor de "getroffen".


4. Praktische uitdagingen voor de windindustrie

Onduidelijke afbakening van consternatie

De centrale kritiek van de BWE betreft de onduidelijke definitie van "onafhankelijkheid". Als een werkmaatschappij dat niet doet eigen IT-systemen heeft, maar formeel onder de wet valt, De uitvoering is nauwelijks realistisch. De BWE eist daarom:

  • Een gedifferentieerde kijk op Dochterondernemingen
  • Geen verplichting voor bedrijven zonder De facto invloed op IT-beveiliging
  • Duidelijke afbakening tussen operator en IT-beheerders

Interface bij de Net Zero Industry Act

In het kader van de Net Zero Industry Act (NZIA) zal cybersecurity ook worden gebruikt als prekwalificatiecriterium voor aanbestedingen . Daarom stelt de BWE voor dat de NIS 2 Uitvoeringswet naar de eisen van de NZIA. Doel: Aanbestedingen mag alleen worden gegeven aan aanbieders die gebruikmaken van beveiligde IT-systemen – en op EU-basis.


5. Termijnen en overgangsbepalingen

  • Bedrijven die onder de nieuwe regelgeving, moet binnen 3 jaar na Bewijs van inwerkingtreding.
  • De deadline vervangt eerdere, strengere vereisten (bv. om de twee jaar).
  • Het is nog open of en hoe overgangsperioden voor certificeringsverplichtingen.

6. Wat is Wat nu?

Aanbevolen acties voor Deelnemers:

  • Maak een self-assessment: Valt jouw bedrijf onder de NIS-2 categorieën?
  • Analyseer IT-risico's: Welke systemen zijn kritiek? Welke Wordt?
  • Controle van contracten: Kunnen dienstverleners ervoor zorgen dat de Eisen?
  • Opleiding van werknemers opzetten: Bewustwording van cyberbeveiliging is verplicht.
  • Zoek contact met verenigingen: Blijf in contact via de BWE of andere Brancheorganisaties informeren over toekomstige regelgeving.

Resultaat

De NIS 2-richtlijn introduceert een nieuwe dimensie in de cyberbeveiliging van de windindustrie. Veel operatoren, Dienstverleners en beheermaatschappijen zijn – direct of indirect – worden beïnvloed. Bijzonder kritisch: de huidige onzekerheid over het beton en de praktische uitvoeringsmogelijkheden voor Dochterondernemingen zonder eigen IT-toegang.

Dit maakt het des te belangrijker om in een vroeg stadium actie te ondernemen omgaan met de nieuwe vereisten, beoordelingsprocessen en Bereid u tijdig voor op certificerings- en rapportageverplichtingen. De Wetgevers hebben de plicht om duidelijkheid te verschaffen, maar ook om ervoor te zorgen dat de Bedrijven moeten nu handelen.

Onze partners in de windenergiehub
Volg ons op