Informatiebeveiliging

Informatiebeveiliging speelt een essentiële rol in het waarborgen van een betrouwbaar, weerbaar en veerkrachtig energiesysteem. De dreiging van cyberaanvallen is reëel en groeit zowel in frequentie als in complexiteit. Deze aanvallen worden uitgevoerd door onder meer georganiseerde cybercriminelen en statelijke actoren, en vormen een risico op verstoring en sabotage van kritieke infrastructuur.

Om deze uitdagingen het hoofd te bieden, hanteren we een risico gebaseerde aanpak van informatiebeveiliging. Deze aanpak richt zich op drie pijlers: technologie, mensen en processen. We investeren voortdurend in het versterken van onze weerbaarheid tegen cyberdreigingen, met als doel het minimaliseren van risico’s en het waarborgen van de continuïteit van onze dienstverlening. Tegelijkertijd beschermen we de vertrouwelijkheid van klant- en bedrijfsinformatie.(MDR-P-65e en MDR-M-75)

Ons informatiebeveiligingsbeleid is nauw verweven met de bedrijfsstrategie en voldoet aan zowel wettelijke als maatschappelijke eisen. De toenemende Europese regelgeving, zoals de NIS2-richtlijn en de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni), vraagt om verdere versterking en uitbreiding van onze beveiligingsmaatregelen. Hiermee blijven we voorbereid op toekomstige uitdagingen en dragen we bij aan een veilig en stabiel energiesysteem.(MDR-P-65d)

Integraal normenkader

Het informatiebeveiligingsbeleid van Enexis strekt zich uit over de gehele organisatie, inclusief Enexis Netbeheer en alle externe partners en leveranciers. Het beleid en de securityriskmanagementprocessen dekken alle processen, ICT-systemen, operationele techniek, gebouwen, terreinen en bedrijfsmiddelen die essentieel zijn voor de bedrijfsvoering.(MDR-P-65b)

Ons informatiebeveiligingsbeleid is uitgewerkt in een integraal normenkader dat is gebaseerd op wereldwijd erkende standaarden en best practices, waaronder ISO 27001 en ISO 27019. Dit normenkader is aangevuld met eisen uit Europese en nationale regelgeving, specifiek de NIS2-richtlijn en de toekomstige Nederlandse implementatie daarvan via de Cyberbeveiligingswet en de Wet Weerbare Kritieke entiteiten (WWKe). Daarnaast zijn richtlijnen van de Nederlandse Beroepsorganisatie van Accountants (NBA) geïntegreerd om een hoog volwassenheidsniveau te waarborgen. Het normenkader omvat beheersmaatregelen op gebieden als governance en organisatie, personeel, fysieke beveiliging, incidentenbeheer, operationeel beheer (Informatie Technologie en Operationele Technologie) en leveranciers- en ketenrelaties. Door deze aanpak worden beveiligingsmaatregelen consistent en effectief geïmplementeerd, met een duidelijke focus op de meest kritieke risico’s voor de organisatie en de veerkracht van vitale processen. Het normenkader wordt periodiek geactualiseerd, zodat het blijft aansluiten bij nieuwe wettelijke vereisten en bij de behoeften van onze organisatie in een steeds veranderende digitale omgeving. Hiermee leggen we een robuuste basis voor sterke, toekomstbestendige informatiebeveiliging.(MDR-P-65a en MDR-P-65d)

De Corporate Information Security Officer (CISO) is het centrale aanspreekpunt voor informatiebeveiliging en geeft leiding aan de CISO Office. Een team veiligheidsspecialisten voert hier tweedelijns werkzaamheden uit, gericht op de digitale weerbaarheid van Enexis. De CISO rapporteert hier op maandbasis over aan de raad van bestuur, waarbij de CFO portefeuillehouder van security is. De CISO informeert de raad van commissarissen via de raad van bestuur op kwartaalbasis om inzicht te geven in het actuele dreigings- en risicobeeld rondom informatiebeveiliging zoals dat van toepassing is op Enexis. Dit ten behoeve van haar toezichthoudende rol op het gebied van informatiebeveiliging en cyberrisico’s. De eerstelijns securitywerkzaamheden worden uitgevoerd binnen de organisatieonderdelen en bedrijfsvoeringsketens, onder eindverantwoordelijkheid van de business owners en directeuren. Zij krijgen hierbij ondersteuning van securityspecialisten.(MDR-P-65c)

Doelstellingen en rapportages

De effectiviteit van ons informatiebeveiligingsbeleid meten we volgens een set prestatie-indicatoren. Deze indicatoren richten zich primair op risicobeheersing en meten in welke mate beheersmaatregelen zijn geïmplementeerd en voldoen aan ons beleid en relevante wet- en regelgeving, waaronder de Wbni en NIS2. We hanteren een risico-gebaseerde aanpak waarbij we, uitgaande van de ‘criticality’ van processen en het actuele dreigingsbeeld, de risico’s voor onze kritieke processen beoordelen en prioriteren. Op basis van deze beoordeling nemen we gerichte en passende maatregelen om deze risico’s effectief te mitigeren.(MDR-A-68a)

In 2025 hadden we de doelstelling om een set van geprioriteerde risico’s die buiten de vastgestelde risicobereidheid vielen effectief te mitigeren met passende maatregelen. Deze doelstelling is deels bereikt. Het gedeelte van de geprioriteerde risico's dat niet gemitigeerd is in 2025 wordt alsnog gemitigeerd in het eerste halfjaar van 2026.

Naast de metingen voeren we interne audits uit. De resultaten hiervan worden gedeeld met de stuurgroep security en relevante risicocommissies. Door duidelijke doelstellingen en regelmatige rapportages blijven we in control over onze informatiebeveiliging. Dit stelt ons in staat om tijdig bij te sturen waar nodig, waardoor we niet alleen voldoen aan wettelijke eisen, maar ook het vertrouwen behouden van klanten, partners en de maatschappij in de veiligheid en betrouwbaarheid van onze energiediensten.(MDR-T-80a, b, c)

Privacy

De bescherming van persoonsgegevens van klanten, medewerkers en andere betrokkenen heeft voortdurend onze aandacht. Daarbij werken we volgens een gedragen risicogebaseerde aanpak en streven we naar een hoger volwassenheidsniveau. Door middel van een Data Protection Impact Assessment (DPIA) brengen we de privacyrisico’s van onze gegevensverwerkingen in kaart. Processen en systemen waarin we gevoelige of grote hoeveelheden persoonsgegevens verwerken hebben daarbij de hoogste prioriteit.

Governance en privacy

We zijn verantwoordelijk voor de bescherming en het beheer van persoonsgegevens van klanten, medewerkers en leveranciers. Hiervoor is een team van privacy specialisten beschikbaar dat bestaat uit Privacy Officers, contactpersonen die actief zijn in specifieke domeinen, een bedrijfsjurist privacy en een Functionaris Gegevensbescherming (toezichthouder op naleving van de Algemene verordening gegevensbescherming (AVG)). Deze specialisten behandelen complexe privacyvraagstukken, datalekken, beleidsvorming en bewustwordingsactiviteiten. Ze adviseren de business, die verantwoordelijk is voor de uitvoering. De raad van bestuur is eindverantwoordelijk.

Vanuit het algemene behoorlijkheidsbeginsel, en vooral het integriteits- en vertrouwelijkheidsbeginsel (artikel 5 AVG), is het essentieel dat we passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Hiervoor zijn diverse afdelingen ingericht en is centraal een informatiebeveiligingsbeleid vastgesteld (zie paragraaf ‘Integraal normenkader’ onder ‘Informatiebeveiliging’).(MDR-P-65)

De verantwoordelijkheden voor de uitvoering van het informatiebeveiligingsbeleid staan beschreven onder de paragraaf ‘Integraal normenkader’ onder ‘Informatiebeveiliging’.

Aanpak rondom risicogebaseerd werken

Binnen de energietransitie zijn er steeds meer datagedreven initiatieven. Denk aan het gebruik van data uit slimme meters, data-uitwisseling bij energiehubs en het gebruik van data om huishoudens en bedrijven te bewegen het stroomnet efficiënter te gebruiken. Daarbij worden persoonsgegevens verwerkt. Ook de nieuwe Energiewet verplicht om op grotere schaal persoonsgegevens van klanten te verwerken. Het maatschappelijke belang van de energietransitie en de snelheid waarmee ontwikkelingen plaatsvinden, vraagt om een doelmatige en risicogebaseerde privacy-organisatie. Belangrijke uitgangspunten daarbij zijn – waar mogelijk – integratie van privacy in processen en beheersmaatregelen, prioritering op basis van hoog-risicoprocessen en een ingebed risicoacceptatieproces. Daarbij is ook gedragenheid vanuit de diverse domeinen noodzakelijk.

Op de volgende doelmatige en risicogebaseerde manieren werken we aan de bescherming van persoonsgegevens:

  • Identificeren van privacy-risico’s binnen processen en applicaties.

  • Monitoren van relevante ontwikkelingen in de sector en potentiële dreigingen.

  • Gebruikmaken van een Enexis Normenkader Privacy, gebaseerd op het privacy control framework van NOREA, met daarin de vertaling van wettelijke verplichtingen naar privacy-beheersmaatregelen. Daarin stellen we vervolgens de meest materiële privacy-beheersmaatregelen vast.

  • Toetsen van de risicobereidheid van de raad van bestuur wat betreft privacy, en het inrichten van een proces voor risico-acceptatie.

Het Normenkader Privacy gebruiken we ook om de naleving te monitoren. Hiermee geven we invulling aan de verantwoordingsplicht op grond van artikel 5(2) AVG. De beheersmaatregelen uit dit kader worden geprioriteerd voor invoering en monitoring. Bij deze prioritering wordt rekening gehouden met geïdentificeerde risico’s, de organisatiebehoefte, impact op de organisatie wat betreft implementatie en de focus van toezichthouders. De niet-geprioriteerde maatregelen pakken we vanaf 2026 en verder op.(MDR-A-68)

Beleid en andere acties om privacy te waarborgen

  • In ons privacybeleid schetsen we het kader voor inrichting, implementatie, uitvoering, beheer, monitoring en continue verbetering van privacy.

  • We hebben privacydoelstellingen opgesteld, waaronder het voldoen aan transparantieverplichtingen. In dat kader hebben we privacyverklaringen voor medewerkers en externen. Voor de overige doelstellingen zijn procesbeschrijvingen gemaakt, zoals een proces rondom het tijdig oppakken van incidenten en het opstellen van een (D)PIA.

  • We besteden aandacht aan het zoveel mogelijk en in een vroeg stadium integreren van privacy bij de ontwikkeling van producten en diensten (Privacy by Design).(MDR-P-65a)

  • In een geautomatiseerd systeem registreren we de verwerkingen en datalekken. Voor de gezamenlijke systemen en processen van netbeheerders, houden we centraal incidentmeldingen bij.

  • Conform artikel 33, lid 1 van de AVG melden we datalekken aan de Autoriteit Persoonsgegevens.

Aantal incidentmeldingen datalekken

2025

2024

Incidentmeldingen in datalekregister Enexis

50

47

Waarvan gemeld aan de toezichthouder (Autoriteit Persoonsgegevens)

2

2

Incidentmeldingen m.b.t. tot gedeelde systemen en processen van de netbeheerders

6

3

Gedragscode slim netbeheer

Enexis houdt zich aan de Gedragscode Slim Netbeheer van Netbeheer Nederland. In deze code – die goedgekeurd is door de Autoriteit Persoonsgegevens – staat hoe netbeheerders moeten omgaan met gegevens uit de slimme meter en aan welke eisen netbeheerders zich moeten houden bij gebruik van deze gegevens. Dit wordt uitgewerkt in een zogenaamde use case. In totaal hebben de gezamenlijke netbeheerders 15 use cases (2024: 12) behandeld en toepasbaar verklaard. Een use case beschrijft wat de situatie is waarvoor data uit de slimme meter nodig is en hoe de data wordt gebruikt. Onafhankelijke privacyexperts controleren of de use case voldoet aan de AVG-wetgeving. Dit doen ze door te toetsen op noodzakelijkheid, subsidiariteit en proportionaliteit. Pas na goedkeuring van de use case mogen netbeheerders de data gebruiken.(MDR-M-77)