De deadline komt snel dichterbij. In het tweede kwartaal van 2026 wordt verwacht dat de Nederlandse overheid de Cyberbeveiligingwet (Cbw)Voor meer informatie zie: Cyberbeveiligingswet (NIS2-richtlijn) (Digitale Overheid). zal handhaven. Deze wet dient als nationale implementatie van de Europese NIS2-richtlijnLees hier meer: NIS2-richtlijn: beveiliging van netwerk- en informatiesystemen (Europese Commissie)..

Voor energieleveranciers, aggregators en eigenaren van assets verandert deze wetgeving het speelveld volledig. Het is niet langer voldoende om alleen jouw eigen interne systemen te beveiligen; de wet breidt jouw verantwoordelijkheid expliciet uit naar jouw directe toeleveringsketen. Als “essentiële” of “belangrijke” entiteit wordt je verantwoordelijk gehouden voor de digitale weerbaarheid van de hardware- en softwareleveranciers die je vertrouwt.

Bij Withthegrid begrijpen we dat jouw prioriteit ligt bij het maximaliseren van asset-waarde en de handel in energie en niet bij het najagen van compliance-papierwerk. Daarentegen zien wij als leverancier van de Teleport Gateway en het Asset Monitoring Platform (AMP), beveiliging als onze primaire verantwoordelijkheid.

Hieronder lees je wat de Cbw betekent voor jouw toeleveringsketen en hoe onze oplossingen jouw compliance-traject ondersteunen.

De verschuiving naar ketenverantwoordelijkheid

Onder de vorige NIS-richtlijn lag de focus zwaar op de primaire dienstverlener. De NIS2-richtlijn, en daarmee de Nederlandse Cbw, introduceert een strengere zorgplicht. Artikel 21 verplicht entiteiten specifiek om risico’s, met betrekking tot de beveiliging van hun toeleveringsketen, te beheren.

Dit houdt in dat je de cybersecurity-kwaliteit van jouw directe leveranciers moet beoordelen. Als een hacker jouw systeem binnenkomt via een gateway van een derde partij of een software-integratie, ligt de aansprakelijkheid nu bij jou.

Het Nationaal Cyber Security Centrum (NCSC)Bekijk alle informatie op deze pagina: “Hoe versterk je de weerbaarheid van leveranciers?” (Nationaal Cyber Security Centum), of download de PDF hier. benadrukt dat dit verder gaat dan een simpele checklist. Dit vraagt om een transitie van reactieve beheersing naar een proactieve dialoog. Het is belangrijk dat je weet of jouw leveranciers beschikken over:

• Processen voor de openbaarmaking van kwetsbaarheden (vulnerability disclosure).
• Bewezen plannen voor incidentrespons.
• Gevestigde praktijken voor risicobeheer.

Hoe Withthegrid voldoet aan de NIS2-eisen

Omdat wij ons op de intersectie van IT-systemen en fysieke infrastructuur (OT) bevinden, hebben we de Teleport en het AMP ontworpen volgens strikte beveiligingsnormen.

Withthegrid is sinds april 2020 ISO 27001-gecertificeerd en we zijn in maart 2025 met succes gehercertificeerd voor ISO 27001:2022. Deze certificering dekt het overgrote deel van de vereisten uit de Cbw. Om je te helpen voldoen aan jouw specifieke verplichtingen, koppelen wij onze interne controles rechtstreeks aan de eisen van de richtlijn. Zo ondersteunen wij je in de naleving van:

1. Risicobeheer en zorgplicht

• De eis: Entiteiten moeten passende technische en organisatorische maatregelen nemen om risico’s te beheersen.
• Onze maatregel: Wij voeren continu risicobeheer uit door periodiek potentiële dreigingen te beoordelen en onze controles aan te passen. Dit omvat het integreren van kwetsbaarheid beoordelingen in onze workflows en het prioriteren van het herstel van kritieke bevindingen.

2. Incidentafhandeling en rapportage

• De eis: Artikel 23 van de wet vereist strikte rapportagetermijnen voor significante incidenten (een vroege waarschuwing binnen 24 uur en een gedetailleerde melding binnen 72 uur).
• Onze maatregel: Wij monitoren de Teleport-Bekijk de live Teleport statuspagina en AMP-dienstenBekijk de live AMP statuspagina continu op afwijkend gedrag. Bij detectie van een incident treedt ons getrainde responsteam direct in werking. Wij hebben gedocumenteerde procedures om de impact te beoordelen en partners tijdig te informeren, zodat je jouw eigen rapportagedeadlines kunt halen.

3. Beveiliging van de toeleveringsketen

• De eis: Het waarborgen van beveiligingsaspecten in de relatie tussen de entiteit en haar directe leveranciers.
• Onze maatregel: Wij controleren onze eigen leveranciers net zo streng als jij ons controleert. Wij beoordelen daarom nieuwe leveranciers en evalueren bestaande partners regelmatig om een robuust beveiligingsniveau te garanderen.

4. Bedrijfscontinuïteit en herstel bij rampen

• De eis: Entiteiten moeten ervoor zorgen dat hun kritieke diensten bestand zijn tegen verstoringen.
• Onze maatregel: Onze infrastructuur is cloudgebaseerd en draait in AWS Multi-Availability Zones voor redundantie. Bovendien is onze broncode ondergebracht bij een escrowservice. Dit garandeert dat, zelfs in een extreem scenario, de software voor jouw opzet herbouwd kan worden én dat je zowel de Asset Monitoring- en Teleportcontrole functies kan blijven gebruiken.

5. Toegangscontrole en cryptografie

• De eis: Beleid op het gebied van cryptografie, versleuteling en toegangscontrole.
• Onze maatregel: Alle communicatie is versleuteld tijdens verzending. We hanteren strikte toegangscontrole op basis van rollen (Need-to-Know principe). Multi-Factor Authenticatie (MFA) is standaard ingeschakeld.

Een gedeelde verantwoordelijkheid

De Cbw en NIS2 maken duidelijk dat cyberweerbaarheid een keten is; een zwakke schakel kan het hele netwerk beïnvloeden. Daarom ondersteunen wij jouw zorgplicht door strikte interne normen te hanteren en de transparante dialoog aan te gaan die het NCSC aanbeveelt.

Door te kiezen voor een partner die al in lijn is met ISO 27001:2022 en de komende Cbw-normen, vermindert de complexiteit van jouw eigen compliance-traject. Dit stelt jou in staat om je te kunnen concentreren op jouw kernactiviteiten: het beheren van jouw kritieke infrastructuur of jouw rendabele energieportfolio.

→ Benieuwd naar al onze beveiligingsmaatregelen? Je vindt alle informatie op onze Security-pagina.