Eind januari 2026 stelde de Europese Commissie als onderdeel van haar nieuwe cybersecuritypakket wijzigingen voor aan de NIS2-richtlijn (Commissievoorstel). De NIS2-richtlijn bevat regels voor de cyberbeveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. Er wordt vaak over het hoofd gezien dat deze NIS2-regels momenteel een zeer breed toepassingsgebied hebben in de energiesector: van grote netbeheerders tot middelgrote ondernemingen die voornamelijk voor eigen gebruik zonnepanelen hebben geïnstalleerd.
Deze bijdrage bespreekt de basisprincipes en het toepassingsgebied van de huidige NIS2-wetgeving, met een focus op de energiesector. Verder wordt er ingegaan op de wijzigingen die door de Europese Commissie zijn voorgesteld.
NIS2 in een notendop
De NIS2-richtlijn werd omgezet door de Wet van 26 april 2024 (“NIS2-wet”) en het Koninklijk Besluit van 9 juni 2024. In essentie is NIS2 van toepassing op entiteiten die ten minste als middelgroot worden aangemerkt in de zin van Aanbeveling 2003/361/EG (zie onze vorige bijdrage voor meer informatie over de criteria).
Daarnaast moeten deze entiteiten “actief” zijn in een van de sectoren die zijn opgesomd in de bijlagen I of II. Deze sectoren gaan van transport, gezondheidszorg en energie (bijlage I – zeer kritieke sectoren) tot fabricage, voedselproductie en chemische stoffen (bijlage II – andere kritieke sectoren). Zoals hierna uiteengezet, wordt de drempel om “actief” te zijn in de energiesector echter eerder bereikt dan men zou verwachten.
Zoals verduidelijkt in onze vorige bijdrage, moeten NIS2-entiteiten voldoen aan bepaalde verplichtingen, zoals registratie bij het Centrum voor Cybersecurity België ("CCB"), ze moeten ervoor zorgen dat het bestuur de noodzakelijk cyberbeveiligingsmaatregelen goedkeurt en erop toeziet dat deze worden nageleefd, op risico van persoonlijke aansprakelijkheid bij nalatigheid.
Sancties kunnen oplopen tot EUR 10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten, en EUR 7 miljoen of 1,4% voor belangrijke entiteiten. Daarnaast introduceert NIS2 ook persoonlijke aansprakelijkheid voor bestuurders die hun verplichtingen inzake cyberbeveiligingsrisicobeheer niet nakomen.
Toepassing van de huidige NIS2-wetgeving in de energiesector
Netbeheerders, gasleveranciers, producenten, exploitanten van oplaadpunten, exploitanten van stadsverwarming en verschillende andere actoren in de energiesector kunnen binnen het NIS2-toepassingsgebied vallen, mits zij minstens als middelgrote onderneming kwalificeren.
Bijzonder relevant is de toepassing van de NIS2-wet op “energieproducenten”, gezien de brede definitie die daaraan wordt gegeven.
Een energieproducent wordt gedefinieerd als “een natuurlijke of rechtspersoon die elektriciteit opwekt”. Dit begrip is niet beperkt tot professionele spelers die hoofdzakelijk actief zijn in de energiesector, noch tot producenten met een minimale geïnstalleerde capaciteit. Het CCB heeft recent gesteld dat een entiteit die zonnepanelen of windturbines exploiteert die op het elektriciteitsnet zijn aangesloten kwalificeert als producent, zelfs wanneer de opgewekte elektriciteit voornamelijk door de entiteit zelf wordt verbruikt (zie vraag 1.22.1.1 van de NIS2-FAQ van maart 2026). Bijgevolg valt een dergelijke entiteit binnen het toepassingsgebied van NIS2, mits zij minstens een middelgrote onderneming is.
Concreet betekent dit dat een entiteit die voornamelijk voor eigen verbruik elektriciteit produceert, zoals een onderneming die zonnepanelen op haar kantoorgebouw heeft geïnstalleerd, onder de NIS2-wet kan vallen indien zij voldoet aan de criteria voor een middelgrote of grote onderneming.
Hetzelfde geldt voor Energy Service Companies (ESCO's) die zonnepanelen exploiteren om een (gedecentraliseerd) warmtenet of EV-oplaadpunten van elektriciteit te voorzien. Deze activiteit valt onder de brede definitie van energieproducent en dus mogelijk onder de toepassing van de NIS2-wetgeving. Daarnaast geldt de uitdrukkelijke toepassing van NIS2 op exploitanten van stadsverwarming en -koeling en exploitanten van oplaadpunten.
Zoals door het CCB in de NIS2-FAQ gesteld, en in lijn met overweging 4 van het Commissievoorstel, is op EU-niveau reeds overeengekomen dat producenten die voornamelijk voor zichzelf elektriciteit produceren, niet de zeer kritieke entiteiten zijn waarvoor de NIS2-richtlijn een hoog niveau van cyberbeveiliging beoogt te waarborgen. Hoewel deze vaststelling er niet toe leidt dat deze entiteiten hun kwalificatie onder de NIS2-wet verliezen, kunnen zij worden onderworpen aan minder streng toezicht. Zoals door het CCB al gesteld, betekent dit in de praktijk dat voor deze producenten het gebruik van een lager zekerheidsniveau van het Cyber Fundamentals Framework als proportioneel wordt beschouwd om aan hun verplichtingen te voldoen. Deze producenten zullen zich nog steeds moeten registreren, significante incidenten moeten melden en cyberbeveiligingsmaatregelen moeten toepassen.
Kortom, de NIS2-wet is momenteel van toepassing op alle middelgrote en grote ondernemingen die elektriciteit opwekken, ongeacht hun productiecapaciteit en ongeacht of dit hun kernactiviteit is. Als gevolg hiervan moet een middelgrote onderneming die zonnepanelen heeft geïnstalleerd, voornamelijk voor eigen verbruik of voor het verbruik van haar klanten, vandaag voldoen aan de fundamentele cyberbeveiligingsverplichtingen uit de NIS2-wet.
Beperking van het toepassingsgebied in het voorstel van de Europese Commissie
De Europese Commissie heeft onlangs een nieuw cybersecuritypakket gepubliceerd. Dit pakket omvat onder meer een voorstel tot wijziging van de NIS2-richtlijn. De voorgestelde wijzigingen beogen de naleving van cyberbeveiligingsverplichtingen te vereenvoudigen en een gestroomlijnde en coherente uitvoering van het regelgevingskader te waarborgen.
Voor de energiesector is de wijziging van bijlage I van bijzonder belang, omdat zij een drempel voor energieproducenten introduceert. De definitie van energieproducent zou worden gewijzigd om te preciseren dat producenten wier totale productiecapaciteit niet meer dan 1 MW bedraagt, niet binnen de definitie van energieproducent vallen. Dit betekent een aanzienlijke beperking van het toepassingsgebied. Deze wijziging sluit aan bij wat reeds op Europees niveau was overeengekomen en door het CCB was vastgesteld, namelijk dat entiteiten die voornamelijk voor eigen verbruik elektriciteit produceren niet de beoogde zeer kritieke entiteiten zijn, en dat een lager niveau van cyberbeveiliging voor hen gerechtvaardigd is.
Verder voegt het Commissievoorstel nieuwe entiteiten toe aan de lijst van kritieke sectoren, zoals waterstofopslagbeheerders en waterstofnetwerkbeheerders.
Wat brengt de toekomst?
Dit alles heeft een aanzienlijke impact op de cyberbeveiligingsregels die in de energiesector moeten worden nageleefd. Voor dit echter van toepassing wordt, moet het voorstel eerst door het Europees Parlement en de Raad worden aangenomen en vervolgens door de Belgische wetgever worden omgezet. Wij volgen deze ontwikkelingen uiteraard nauwlettend voor u op.
Hoewel het toepassingsgebied in de toekomst waarschijnlijk beperkter zal zijn, moet het belang van cyberbeveiliging in de energiesector worden benadrukt. Voor alle elektriciteitsproducenten, exploitanten van oplaadpunten en netbeheerders blijft cyberbeveiliging inderdaad een belangrijk aandachtspunt in hun activiteiten.
Eubelius helpt u graag bij de NIS2-compliance of bij eventuele NIS2-gerelateerde vragen. Aarzel niet om ons te contacteren.
