[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Update Versterken Cyberweerbaarheid in de Watersector

Waterbeleid

Brief regering

Nummer: 2021D21287, datum: 2021-06-02, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-27625-539).

Gerelateerde personen:

Onderdeel van kamerstukdossier 27625 -539 Waterbeleid.

Onderdeel van zaak 2021Z09654:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2020-2021

27 625 Waterbeleid

Nr. 539 BRIEF VAN DE MINISTER VAN INFRASTRUCTUUR EN WATERSTAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 juni 2021

Naar aanleiding van mijn Kamerbrief1 van 2 april jl. over het onderzoek van de Inspectie van de Leefomgeving en Transport (ILT) over de digitale beveiliging bij Stichting Waternet informeer ik u hierbij over de laatste stand van zaken met betrekking tot mijn inzet2 in het kader van het versterken van de cybersecurity in de watersector. In deze update ga ik achtereenvolgens in op:

− de Ministeriele Regeling Beveiliging Netwerk- en Informatiesystemen;

− het toezicht op het naleven van de Wet beveiliging netwerk- en informatiesystemen (Wbni);

− de intensivering van de aanvullende cybersecurity afspraken in het kader van het bestuursakkoord water (BAW+);

− het Rijkswaterstaat Versterkingsprogramma Cybersecurity.

Ministeriele Regeling Beveiliging Netwerk- en Informatiesystemen

Op 26 mei 2021 is de Regeling beveiliging netwerk- en informatiesystemen IenW (verder regeling) in de Staatscourant gepubliceerd3. Deze regeling zal 1 juli as. voor alle aanbieders van essentiële diensten (AED’s) binnen het IenW-domein in werking treden. Dat betreft AED’s binnen de sectoren drinkwater, luchtvaart en maritiem. Het gewijzigde Besluit beveiliging netwerk- en informatiesystemen (Bbni4) biedt de juridische grondslag voor deze regeling.

Doel van de regeling is om de zorgplicht verder in handhaafbare- en uitvoerbare bepalingen uit te werken, zodat een logische opbouw van Wbni, Bbni, regeling en richtinggevende sectorspecifieke normen ontstaat. Kern van deze regeling is het toepassen van een risicogestuurd cybersecurity management systeem. Met deze regeling geef ik invulling aan het advies5 van de ILT voor een bindend en samenhangend totaalkader aan risicobeheersingsmaatregelen.

Toezicht op de Wbni door de ILT

De bindende voorschriften in het gewijzigde Bbni en de nieuwe regeling zijn randvoorwaardelijk voor effectief toezicht door de ILT op de naleving van de zorgplicht. Voor dit toezicht heeft de ILT recentelijk haar capaciteit versterkt. Over het diepgaand onderzoek dat door de ILT bij Waternet is verricht heb ik u al via mijn Kamerbrief6 van 2 april jl. en in mijn beantwoording van Kamervragen van de Leden Van Ginneken en De Groot7 op 12 mei jl. uitgebreid geïnformeerd.

De ILT heeft op mijn verzoek onlangs een thematische verkenning naar de inrichting van het kwetsbaarheden- en patchmanagement van de procesautomatisering bij de sectoren drinkwater, luchtvaart en maritiem afgerond. De uitkomsten van deze verkenning geven volgens de ILT een bemoedigend beeld. De AED’s zijn zich bewust van het belang van kwetsbaarheden- en patchmanagement. Naar aanleiding van deze uitkomsten plan ik met de betreffende sectoren, de ILT, de NCTV en het NCSC een evaluatiesessie waarbij de lessen die kunnen worden getrokken uit dit onderzoek besproken worden. Hierbij zullen voorbeelden ter beschikking worden gesteld om het kwetsbaarheden- en patchmanagement bij alle AED’s verder te verbeteren. Aangezien deze verkenning een eerste meting is, zullen de resultaten input vormen voor het aangekondigde vervolgonderzoek dat de ILT in 2021 instelt naar de naleving van de zorg- en meldplicht uit de Wbni.

Intensivering cybersecurity afspraken Bestuursakkoord Water (BAW+)

Zoals aangekondigd in mijn brief van 4 november 20208, heb ik in de Stuurgroep Water van 20 januari 2021 samen met de bestuurders van de waterpartners afspraken gemaakt om de inzet op drie bestaande BAW+ afspraken te intensiveren. Ik ga hieronder kort in op de trajecten, die onder de regie van het programma versterken cyberweerbaarheid in de watersector9 worden uitgevoerd.

Het eerste traject betreft het stapsgewijs uitwerken van een brede cyberstandaard/handreiking voor de procesautomatisering als aanvulling op de Baseline Informatiebeveiliging Overheid (BIO). Dit wordt in twee deelprojecten uitgevoerd. Onder regie van Rijkswaterstaat en het Waterschapshuis wordt gewerkt aan het aanpassen van de bestaande Cybersecurity Implementatierichtlijn Objecten RWS (CSIR) naar een implementeerbare versie voor de waterschappen. Parallel daaraan wordt – rekening houdend met de CSIR – een Baseline Industriële Automatisering Cyber Security (BIACS) ontwikkeld, een breed toepasbaar algemeen kader voor procesautomatisering dat bruikbaar is voor meerdere sectoren. Dit in navolging van het advies van de Cyber Security Raad10 hierover en in samenwerking de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Klimaat en Justitie en Veiligheid.

De tweede intensivering betreft het doorontwikkelen van het Computer Emergency Response Team (CERT) Water Management naar een Security Operations Center (SOC) Water Management. Om de samenwerking binnen de watersector op het gebied van cybersecurity te versterken is een verkenning uitgevoerd t.b.v. een «proof of concept» (PoC) en een plan van aanpak opgesteld. In een gemeenschappelijk project van Rijkswaterstaat en het Waterschapshuis worden objecten van twee waterschappen aangesloten op het SOC van RWS. Dit als onderdeel van een haalbaarheidsonderzoek voor het leveren van de monitoringsdienst vanuit het SOC van Rijkswaterstaat aan de waterschappen. In een separaat project wordt binnen de drinkwatersector een onderzoek uitgevoerd naar de beste samenwerkingsmodaliteiten op het inzetten van een SOC.

Het derde intensiveringstraject betreft het toetsen van een ontwikkelde methodiek voor ketenrisico’s door het toepassen op concrete waterketens. Om beter inzicht te krijgen in de zogenaamde cascade-effecten is in 2020 gestart met het ontwikkelen van een methodiek om ketenafhankelijkheden in kaart te brengen en een sectorbrede afhankelijkheids- en kwetsbaarheidsanalyse uit te voeren. De voorlopig vastgestelde methodiek is toegepast in een pilot over de afvoer van overtollig regenwater in het Noordzeekanaal. Vervolgens is gestart met toepassing in de keten (drink)waterkwaliteit. Daarna volgt de waterveiligheidsketen. Met de VNG heb ik afgesproken dat ook een keten waar het zwaartepunt bij de gemeenten ligt wordt opgepakt.

Digitale beveiliging waterwerken Rijkswaterstaat

In mijn Kamerbrieven11 uit 2020 en tijdens het Wetgevingsoverleg van 1 december 2020 ben ik uitvoerig ingegaan op de maatregelen die Rijkswaterstaat (RWS) heeft genomen en gaat nemen om de aanbevelingen uit het rapport van de Algemene Rekenkamer (ARK) «Digitale Dijkverzwaring, Cybersecurity en Vitale Waterwerken» op te volgen. In 2021 en 2022 wordt extra geïnvesteerd in de cyberweerbaarheid van RWS. De komende twee jaar staat sturing door middel van risicobeheersing centraal, zowel via het RWS-versterkingsprogramma als een jaarlijks op te stellen informatiebeveiligingsbeeld (dit IB-beeld is bedoeld om meer op risicobeheersing en preventie te sturen). Als onderdeel van het versterkingsprogramma investeert RWS in «security by design» bij vernieuwing & renovatie, voert het cybertesten uit als onderdeel van de functionele inspectie testen (FIT) uit, sluit het de komende jaren extra objecten voor monitoring door het SOC aan, neemt het risico gestuurd (acute) problemen weg en oefent het met de crisisorganisatie. Met deze aanpak is RWS beter in control en wordt de cybersecurity van de drie hoofdnetwerken verbeterd.

De Minister van Infrastructuur en Waterstaat,
C. van Nieuwenhuizen Wijbenga


  1. Kamerstuk 27 625, nr. 529↩︎

  2. Kamerstuk 27 625, nrs. 507 en 522↩︎

  3. Stcrt. 2021, nr. 25471: https://www.officielebekendmakingen.nl/stcrt-2021–25471.html↩︎

  4. Stcrt. 2021, nr. 160↩︎

  5. Paragraaf 3.2 van het gewijzigde Bbni over de handhaafbaarheids-, uitvoerbaarheids- en fraudebestendigheidstoets (HUF-toets) van de ILT↩︎

  6. Kamerstuk 27 625, nr. 529↩︎

  7. Aanhangsel Handelingen II 2020/21, nr. 2759↩︎

  8. Kamerstuk 27 625, nr. 522↩︎

  9. Programma Versterken Cyberweerbaarheid in de Watersector – Helpdesk water↩︎

  10. CSR Advies «Industrial Automation & Control Systems (IACS)» – CSR-advies 2020, nr. 2 | Advies | Cyber Security Raad↩︎

  11. Kamerstuk 27 625, nrs. 507 en 522↩︎