ILT stelt Waternet onder verscherpt toezicht

Amsterdam – Stichting Waternet (Waternet) komt onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT). Uit onderzoek van de ILT blijkt dat de drinkwaterorganisatie zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Dit wordt veroorzaakt door tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht en de besturing van de organisatie.

Verhoogd risico Waternet op cyberincident

Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Er zijn geen aanwijzingen dat de kwaliteit en levering van het drinkwater acuut in gevaar zijn. De ILT gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet.

Cybersecurity

Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.

WBNI

De Wbni regelt een zorgplicht – het treffen van beveiligingsmaatregelen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd – en een meldplicht van incidenten. Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd. De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.

Meldplicht

Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld. Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden.

Besturing

Daarnaast vormen ook de tekortkomingen in de besturing een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity.

Borging van drinkwaterprocessen vindt vooral op operationeel niveau (werkvloer) plaats. Op strategisch niveau (waaronder directie en stichtingsbestuur) is waarborging van de drinkwatertaak en de cybersecurity nog onvoldoende aanwezig. In het ontwerp van de bestuurlijke structuur ontbreekt integraal toezicht op de drinkwatertaak. Bovendien is er nog geen gestructureerd risicomanagement en vinden evaluatie en bijsturing nog niet genoeg plaats.

Risico’s van de tekortkomingen

De ILT vindt dat Waternet ten tijde van het ILT-onderzoek onvoldoende grip heeft op haar cybersecurity. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Hoeveel groter de kans of impact voor het drinkwater is, laat zich niet eenvoudig kwantificeren. De beveiliging leunt niet op één maatregel. De maatregelen werken aanvullend op elkaar en verhogen als geheel de weerstand tegen cyberaanvallen of verkleinen als geheel de impact. Hoe groot het negatief effect van ontbrekende of niet optimaal werkende maatregelen is, is niet exact aan te geven.

De tekortkomingen in de besturing vormen een oorzaak van de risico’s op het gebied van cybersecurity en de (overige) voorwaarden voor waarborging van de drinkwatertaak. Dit toont het belang van verbetering van de besturing ten behoeve van waarborging van de drinkwatertaak.

Verbeteringen

Waternet heeft inmiddels al een aantal stappen gezet ter verbetering van de tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht. Tevens evalueert Waternet het besturingsmodel. De ILT vindt dit een positieve ontwikkeling, maar benadrukt het belang om zo snel mogelijk voldoende grip te hebben op het uitvoeren van verbeteringen, hier voldoende inzicht in te hebben en indien nodig tijdig bij te sturen.

De ILT stelt Waternet de komende periode onder verscherpt toezicht en gaat toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing. Het verscherpt toezicht duurt tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen – in het bijzonder die van cybersecurity – in voldoende mate op orde heeft.

Over het onderzoek

De ILT houdt bij Waternet toezicht op de drinkwatervoorziening en op het deel van de cybersecurity dat betrekking heeft op de drinkwaterveiligheid en leveringszekerheid. In de media kwam in september en november 2020 het signaal naar voren dat de cybersecurity bij Waternet niet op orde zou zijn en dat de besturing bij Waternet verbeteringen ten aanzien van cybersecurity zou belemmeren.

Dit signaal, in combinatie met de uitkomst van een bestuurlijk gesprek met Waternet over dit signaal, was voor de ILT reden om te besluiten tot een eigen onderzoek. Het doel van dit onderzoek was vast te stellen in hoeverre er sprake was van risico’s voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. Het onderzoek is uitgevoerd in de periode van 24 november 2020 tot 5 februari 2021.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here

Nieuws uit deze regio

Inspraak ontwerpbestemmingsplan project Aanpak verkeersdrukte Thorbeckeweg

Oostzaan/Zaanstad - Van 27 mei tot en met 7 juli kunnen inwoners, bedrijven en andere belanghebbenden in Oostzaan en Zaanstad inspraak hebben op het...

Zwembad De Slag stap dichterbij realisatie

Zaandam - Burgemeester en wethouders hebben ingestemd met het ontwerp van zwembad De Slag en hebben het krediet beschikbaar gesteld voor de bouw. Het...

Huurkorting voor Zaanse horeca en detailhandel in crisis

Zaanstad - Huurkorting is één van de middelen die de gemeente Zaanstad aan ondernemers in de horeca en (een deel van) de detailhandel aanbiedt....

Burgemeester Wormerland stuurt jongeren brief over vaaroverlast

Wormerland - Burgemeester Judith Michel van de gemeente Wormerland vraagt in een brief aan alle jongeren mee te helpen en elkaar aan te spreken...

Koning opent tentoonstelling Slavernij in het Rijksmuseum voor scholieren

Amsterdam - Koning Willem-Alexander opent dinsdagmiddag 18 mei de tentoonstelling Slavernij in het Rijksmuseum in Amsterdam. Wegens de geldende maatregelen ter bestrijding van COVID-19...

Start tijdperk waarin glasvezel de standaard is voor supersnel internet

Amsterdam - IJburg in Amsterdam heeft samen met vijf andere gebieden in Nederland met glasvezel de primeur. KPN heeft daar het kopernetwerk uitgezet, waardoor...

Fixi voor makkelijke melding maken problemen openbare ruimte Aalsmeer

Aalsmeer - Wilt u een melding maken van iets in de openbare ruimte dat gemaakt of opgeruimd moet worden? Dat kunt u doen met...

Campagne ‘Ik zit klem’ voor meer bewustwording over huiselijk geweld

Zaanstad - Acht gemeenten uit Zaanstreek – Waterland trekken samen op met een publiekscampagne over huiselijk geweld. Ze vragen aandacht voor alledaagse situaties waarin...