ILT brengt Waternet onder verscherpt toezicht
Stichting Waternet (Waternet) komt onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT). Uit onderzoek van de ILT blijkt dat de drinkwaterorganisatie zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Dit wordt veroorzaakt door tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht en de besturing van de organisatie.
Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Er zijn geen aanwijzingen dat de kwaliteit en levering van het drinkwater acuut in gevaar zijn. De ILT gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet.
Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.
De Wbni regelt een zorgplicht - het treffen van beveiligingsmaatregelen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd - en een meldplicht van incidenten. Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd.
De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response.
Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.
Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld.
Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden.
Daarnaast vormen ook de tekortkomingen in de besturing een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity.
SOMS IS HET NODIG IN DE SPIEGEL TE KIJKEN WIE OF WAT JE OOK BENT... (ANDERS KUNNEN DOOR ONVERWACHTE STORINGEN DINGEN VRESELIJK MIS GAAN... )
ILLUSTRATIE: IVOR RAY