Digitale veiligheid & privacy

Enexis is als netbeheerder onderworpen aan verschillende wettelijke regimes die gericht zijn op het borgen van de continuïteit, veiligheid en weerbaarheid van de energievoorziening. Dit betreft in het bijzonder:

• artikel 3.18 van de Energiewet en de daarop gebaseerde ministeriële regeling, op grond waarvan Enexis voor aangewezen bedrijfskritische processen is gebonden aan de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV)

• de Cyberbeveiligingswet (Cbw), als implementatie van de NIS2‑richtlijn, gericht op digitale weerbaarheid;

• de Wet weerbaarheid kritieke entiteiten (Wwke), als implementatie van de CER‑richtlijn, gericht op fysieke en operationele weerbaarheid.

Deze wetgeving heeft niet alleen betrekking op Enexis zelf, maar ook op risico’s die ontstaan via de toeleveringsketen. Enexis is wettelijk verplicht om deze risico’s te identificeren, te beoordelen en – waar nodig – te beheersen.

Voor (potentiële) leveranciers betekent dit dat op opdrachten die (direct of indirect) raken aan bedrijfskritische, essentiële of ondersteunende processen aanvullende eisen en voorwaarden van toepassing kunnen zijn. Dit kan onder meer inhouden dat:

• Een opdracht (geheel of gedeeltelijk) wordt aanbesteed conform de ADV, in plaats van de reguliere aanbestedingsregels;

• Verzwaarde eisen gelden op het gebied van:
  -informatiebeveiliging en cyberweerbaarheid;
  -fysieke beveiliging en toegangsbeperking;
  -bedrijfscontinuïteit en leveringszekerheid;

• Enexis ketenrisico’s moet beheersen, wat kan leiden tot:
  -risico‑inventarisaties of (self‑)assessments bij leveranciers;
  -aanvullende vragen, audits of verificaties;

• Specifieke contractuele verplichtingen worden opgelegd, zoals:
  -verplichtingen rond incident‑ en meldprocedures;
  -eisen ten aanzien van onderaannemers en uitbesteding;
  -verplichtingen om passende technische en organisatorische maatregelen te treffen.

Niet iedere leverancier valt zelf rechtstreeks onder deze wetten. De impact ontstaat vaak indirect, doordat Enexis wettelijke verplichtingen moet doorleggen in contracten en samenwerkingsafspraken.

Enexis past deze wettelijke kaders risicogebaseerd en proportioneel toe. Als en voor zover een opdracht onder de reikwijdte van de ADV, de Cbw en/of de Wwke valt:

• wordt dit expliciet kenbaar gemaakt in de aanbestedingsdocumenten en/of contractstukken;

• maken de hieruit voortvloeiende eisen integraal onderdeel uit van de toepasselijke inkoop‑ en contractvoorwaarden van Enexis;

• wordt van leveranciers verwacht dat zij tijdig, volledig en aantoonbaar kunnen voldoen aan deze eisen.

De hierboven genoemde eisen kunnen onder andere zijn:

• Het DV&P-addendum (Digitale Veiligheid & Privacy-addendum): deze wordt toegepast als Enexis inschat dat er risico’s zijn op het gebied van digitale veiligheid en/of privacy. Het DV&P Addendum is modulair opgebouwd en bevat secties met beveiligingseisen die, afhankelijk van wat er precies ingekocht wordt, al of niet van toepassing zijn.

• Een Privacy overeenkomst: deze is nodig wanneer persoonsgegevens verwerkt worden door de leverancier of in systemen, apparatuur of diensten van een leverancier of wanneer er met de leverancier persoonsgegevens uitgewisseld worden. Afhankelijk van de situatie is dit een van de volgende overeenkomsten:
  -Verwerkersovereenkomst (in de meest voorkomende gevallen)
  -Gegevensuitwisselingsovereenkomst (GUO)

• Een Geheimhoudingsverklaring (NDA – Non Disclosure Agreement): deze wordt ingezet wanneer de leverancier in het kader van de overeenkomst toegang krijgt tot strikt vertrouwelijke of gevoelige bedrijfsinformatie of waardevol Enexis intellectueel eigendom. 

Als er nog extra security- en/of privacyrisico’s zijn vastgesteld, wordt er een DPIA (Data Protection Impact Assessment) uitgevoerd en komen er zo nodig extra eisen bij de overeenkomst. Ook kunnen er, als dat nodig is, extra security-eisen in de overeenkomst opgenomen worden.