cybersecurity in watersector
Bij Waternet bleken verouderde privé-telefoons problemen met de beveiliging te veroorzaken. (foto: Gerd Altmann, Pixabay).

Minister Cora van Nieuwenhuizen neemt maatregelen om de cybersecurity in de watersector te verbeteren. Op 1 juli treedt de Regeling beveiliging netwerk- en informatiesystemen Infrastructuur en Waterstaat (IenW) voor alle aanbieders van essentiële diensten binnen het IenW-domein in werking. Het doel is om risicogestuurd te gaan werken en de inspectie meer handvatten te geven voor handhaving. Dat schrijft minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat begin juni in een brief aan de Tweede Kamer

Aanleiding voor de nieuwe maatregelen zijn de problemen met de digitale beveiliging bij Stichting Waternet. De nieuwe regels gaan gelden voor alle aanbieders binnen de sectoren drinkwater, luchtvaart en maritiem. In het gewijzigde Besluit beveiliging netwerk- en informatiesystemen (Bbni) is de zorgplicht uitgewerkt in handhaafbare en uitvoerbare regels. Op deze manier geeft de minister invulling aan het advies van de Inspectie voor Leefomgeving en Transport (ILT). De nieuwe regels bieden de inspectie handvatten voor effectief toezicht. Voor de uitvoering van het toezicht heeft de ILT haar capaciteit inmiddels versterkt.

Verkenning

De ILT heeft op verzoek van de minister ook een verkenning naar kwetsbaarheden bij de procesautomatisering in de sectoren drinkwater, luchtvaart en maritiem uitgevoerd. Er is ook uitgebreid gekeken naar patchmanagement. Hierbij worden kwetsbaarheden in netwerk- en informatiesystemen planmatig gecontroleerd en hersteld. “De uitkomsten van deze verkenning geven volgens de ILT een bemoedigend beeld”, schrijft de minister in haar brief. Volgens Van Nieuwenhuizen zijn de leveranciers zich bewust van het belang van kwetsbaarheden- en patchmanagement. “Naar aanleiding van deze uitkomsten plan ik met de betreffende sectoren, de ILT, de NCTV en het NCSC een evaluatiesessie waarbij de lessen die kunnen worden getrokken uit dit onderzoek besproken worden. Hierbij zullen voorbeelden ter beschikking worden gesteld om het kwetsbaarheden- en patchmanagement bij alle aanbieders verder te verbeteren”, aldus de minister.

Afspraken Bestuursakkoord Water

Van Nieuwenhuizen heeft in de Stuurgroep Water van 20 januari 2021 samen met de bestuurders van de waterpartners afspraken uit het Bestuursakkoord Water opnieuw bekrachtigd. Het gaat om het stapsgewijs uitwerken van een cyberstandaard voor de procesautomatisering. Onder regie van Rijkswaterstaat en het Waterschapshuis zal de Cybersecurity Implementatierichtlijn Objecten RWS (CSIR) worden aangepast voor waterschappen. Daarnaast wordt een Baseline Industriële Automatisering Cyber Security (BIACS) ontwikkeld. Dat is een algemeen kader voor procesautomatisering dat bruikbaar is voor meerdere sectoren.

Security Operations Center

Verder gaan Rijkswaterstaat en het Waterschapshuis objecten van twee waterschappen aansluiten op het Security Operations Center (SOC) van Rijkswaterstaat. Zo wordt onderzocht of het Security Operations Center van Rijkswaterstaat diensten aan de waterschappen kan gaan leveren. In een separaat project wordt binnen de drinkwatersector een onderzoek gedaan naar de beste samenwerkingsvormen.

Ketenrisico’s in kaart

Ten slotte wordt een methode voor het in kaart brengen van ketenrisico’s toegepast op de waterketen. Het doel is om beter inzicht te krijgen in de zogenaamde cascade-effecten. “Er wordt gewerkt aan een methodiek om ketenafhankelijkheden in kaart te brengen en een sectorbrede afhankelijkheids- en kwetsbaarheidsanalyse uit te voeren. De voorlopig vastgestelde methodiek is toegepast in een pilot over de afvoer van overtollig regenwater in het Noordzeekanaal. Vervolgens is gestart met toepassing in de keten (drink)waterkwaliteit. Daarna volgt de waterveiligheidsketen. Met de Vereniging Nederlandse Gemeenten heb ik afgesproken dat er ook een keten waar het zwaartepunt bij de gemeenten ligt, wordt opgepakt”, schrijft de minister.

Investeringen bij Rijkswaterstaat

Van Nieuwenhuizen meldt dat er in 2021 en 2022 extra wordt geïnvesteerd in de cyberweerbaarheid van Rijkswaterstaat (RWS). Als onderdeel van een versterkingsprogramma investeert RWS in ‘security by design’ bij vernieuwing & renovatie. Daarnaast worden er cybertesten uitgevoerd en extra objecten voor monitoring aangesloten op het Security Operations Center. Verder worden acute problemen risicogestuurd opgelost en zal er worden geoefend met de crisisorganisatie. “Met deze aanpak is RWS beter in control en wordt de cybersecurity van de drie hoofdnetwerken verbeterd”, besluit de minister.