De RDI rondt inventarisatiegesprekken met olie- en gasopslagbedrijven af
De RDI heeft deze maand de inventarisatiegesprekken cybersecurity afgerond in de olie- en gassector. We spraken 21 aanbieders van essentiële diensten in deze sector waaronder raffinaderijen, olieopslag en pijpleidingen. Hiermee kregen we inzicht in de bedrijfsprocessen en een eerste indruk van de invulling van de zorgplicht met betrekking tot cybersecurity.
Aanleiding voor deze kennismakingsgesprekken is de aanwijzing van olie- en gasopslagbedrijven als aanbieders van essentiële dienst (AED’s) door het ministerie van Economische Zaken en Klimaat (EZK). Per 1 januari 2023 is de RDI toezichthouder op de olie- en gasopslagbedrijven op basis van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Levering van olie- en gas is een vitaal proces, belangrijk voor de leveringszekerheid van energie. Een digitale verstoring daarin kan leiden tot grote, ontwrichtende effecten op de economie en maatschappij.
Cybersecurity is belangrijk op bestuursniveau
Aandacht op bestuursniveau voor cybersecurity is belangrijk voor een solide digitale weerbaarheid. Daarom begonnen we met kennismakingsgesprekken met bestuursleden. We spraken daarbij over de organisatie- en governancestructuur, over de inrichting van de essentiële dienst (processen, mensen en middelen) en over de omvang (opslagcapaciteit, aantal gebruikers).
Zo zagen we dat we bij deze 21 aanbieders te maken hebben met grote multinationals die hoofdkantoren binnen of buiten Nederland hebben. En kleinere organisaties die qua governancestructuur relatief horizontaal zijn ingericht.
Ook spraken we met bestuurders over de plek van hun organisatie in de, soms internationale keten van schepen, lossen (jetties), opslag, buisleiding en verwerking. Het was goed te zien dat veel bedrijven aangeven bekend te zijn met certificering. Met name de ISO 9001 is een bekende en veelgebruikte standaard binnen de sector. Op het gebied van digitale weerbaarheid wordt de ISO 27001 genoemd. Enkele bedrijven in de olie- en gassector zijn reeds hierop gecertificeerd, anderen bedrijven zijn ermee bezig.
Vragenlijsten en gesprekken met cybersecurity verantwoordelijke
Na de gesprekken met bestuurders hebben we de bedrijven gevraagd vragenlijsten in te vullen over hoe zij omgaan met de beveiliging van hun netwerk- en informatiesystemen. De antwoorden hierop vormden de basis voor de volgende stap: kennismaken met de verantwoordelijke voor cybersecurity. We bespraken onder andere hoe vaak er wijzigingen worden gedaan op de OT-infrastructuur, het aantal storingen, het gebruik van de cloud en welke derde partijen betrokken zijn bij de digitale weerbaarheid van hun organisatie. Verder zijn in het kader van de zorgplicht vragen gesteld over bijvoorbeeld het in kaart hebben van de risico’s op het gebied van cyberveiligheid, getroffen maatregelen om garant te staan voor digitale weerbaarheid en hoe de continuïteit van de dienstverlening wordt gewaarborgd.
Afgelopen maand hebben we alle 21 kennismakingsgesprekken afgerond. Op basis van de verzamelde informatie en de input uit de gesprekken gaan we een risicoanalyse uitvoeren en onze focus voor het vervolg bepalen.