Stichting Waternet komt onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT). De drinkwaterorganisatie heeft onvoldoende grip op de cybersecurity. Dat komt door tekortkomingen in het bestuur en de uitvoering van de wettelijke zorg- en meldplicht. Uit onderzoek van ILT blijkt dat er een verhoogd risico is op een cyberincident met gevolgen voor de kwaliteit en/of de continuïteit van drinkwater.
Volgens het onderzoek van ILT zijn er overigens geen aanwijzingen dat de kwaliteit en levering van het drinkwater acuut in gevaar zijn. De inspectie gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet. De cybersecurity van Waternet kwam in september 2020 in opspraak na een artikel van het journalistieke platform Follow the Money (FTM). Zij concludeerden na gesprekken met interne bronnen dat de digitale beveiliging van Waternet zo lek als een mandje was. De leiding negeerde waarschuwingen van experts en het zou slechts een kwestie van tijd zijn voor het ‘finaal’ fout gaat.
Essentiële dienst
Minister Van Nieuwenhuizen liet tijdens het Wetgevingsoverleg Water in december weten de ILT onderzoek uitvoert naar de procesautomatisering en de continuïteit van het primaire proces. ‘In dit geval gaat het dan om de continuïteit van het leveren van deugdelijk drinkwater. Daarin neem ik de regie.’ Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.
Tekortkomingen
De Wbni stelt dat een organisatie beveiligingsmaatregelen moet treffen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd (zorgplicht) en dat incidenten moeten worden gemeld (meldplicht). Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd. De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.
Geen procedure voor melden incidenten
Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld. Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden.
Besturing
Daarnaast vormen ook de tekortkomingen in de besturing een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity. Borging van drinkwaterprocessen vindt vooral op operationeel niveau (werkvloer) plaats. Op strategisch niveau (waaronder directie en stichtingsbestuur) is waarborging van de drinkwatertaak en de cybersecurity nog onvoldoende aanwezig. In het ontwerp van de bestuurlijke structuur ontbreekt integraal toezicht op de drinkwatertaak. Bovendien is er nog geen gestructureerd risicomanagement en vinden evaluatie en bijsturing niet genoeg plaats.
Snel verbeteringen nodig
Waternet heeft inmiddels al een aantal stappen gezet ter verbetering van de tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht. Tevens evalueert Waternet het besturingsmodel. De ILT vindt dit een positieve ontwikkeling, maar benadrukt het belang om zo snel mogelijk voldoende grip te hebben op het uitvoeren van verbeteringen, hier voldoende inzicht in te hebben en indien nodig tijdig bij te sturen. De ILT stelt Waternet de komende periode onder verscherpt toezicht en gaat toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing. Het verscherpt toezicht duurt tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen – in het bijzonder die van cybersecurity – in voldoende mate op orde heeft.
Over het onderzoek
De ILT houdt bij Waternet toezicht op de drinkwatervoorziening en op het deel van de cybersecurity dat betrekking heeft op de drinkwaterveiligheid en leveringszekerheid. Na de negatieve berichten in de media en de uitkomst van een bestuurlijk gesprek met Waternet over dit signaal, besloot ILT een onderzoek in te stellen. Het doel van dit onderzoek was vast te stellen in hoeverre er sprake was van risico’s voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. Het onderzoek is uitgevoerd in de periode van 24 november 2020 tot 5 februari 2021.
