ILT stelt Waternet onder verscherpt toezicht ivm cybersecurity
Stichting Waternet (Waternet) komt onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT). Uit onderzoek van de ILT blijkt dat de drinkwaterorganisatie zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Dit wordt veroorzaakt door tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht en de besturing van de organisatie. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater.
Er zijn geen aanwijzingen dat de kwaliteit en levering van het drinkwater acuut in gevaar zijn. De ILT gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet.
Cybersecurity
Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.
De Wbni regelt een zorgplicht - het treffen van beveiligingsmaatregelen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd - en een meldplicht van incidenten. Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd. De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.
Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld. Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden.
Besturing
Daarnaast vormen ook de tekortkomingen in de besturing een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity.
Borging van drinkwaterprocessen vindt vooral op operationeel niveau (werkvloer) plaats. Op strategisch niveau (waaronder directie en stichtingsbestuur) is waarborging van de drinkwatertaak en de cybersecurity nog onvoldoende aanwezig. In het ontwerp van de bestuurlijke structuur ontbreekt integraal toezicht op de drinkwatertaak. Bovendien is er nog geen gestructureerd risicomanagement en vinden evaluatie en bijsturing nog niet genoeg plaats.
Risico’s van de tekortkomingen
De ILT vindt dat Waternet ten tijde van het ILT-onderzoek onvoldoende grip heeft op haar cybersecurity. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. Hoeveel groter de kans of impact voor het drinkwater is, laat zich niet eenvoudig kwantificeren. De beveiliging leunt niet op één maatregel. De maatregelen werken aanvullend op elkaar en verhogen als geheel de weerstand tegen cyberaanvallen of verkleinen als geheel de impact. Hoe groot het negatief effect van ontbrekende of niet optimaal werkende maatregelen is, is niet exact aan te geven.
De tekortkomingen in de besturing vormen een oorzaak van de risico’s op het gebied van cybersecurity en de (overige) voorwaarden voor waarborging van de drinkwatertaak. Dit toont het belang van verbetering van de besturing ten behoeve van waarborging van de drinkwatertaak.
Verbeteringen
Waternet heeft inmiddels al een aantal stappen gezet ter verbetering van de tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht. Tevens evalueert Waternet het besturingsmodel. De ILT vindt dit een positieve ontwikkeling, maar benadrukt het belang om zo snel mogelijk voldoende grip te hebben op het uitvoeren van verbeteringen, hier voldoende inzicht in te hebben en indien nodig tijdig bij te sturen. De ILT stelt Waternet de komende periode onder verscherpt toezicht en gaat toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing. Het verscherpt toezicht duurt tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen - in het bijzonder die van cybersecurity - in voldoende mate op orde heeft.
Over het onderzoek
De ILT houdt bij Waternet toezicht op de drinkwatervoorziening en op het deel van de cybersecurity dat betrekking heeft op de drinkwaterveiligheid en leveringszekerheid. In de media kwam in september en november 2020 het signaal naar voren dat de cybersecurity bij Waternet niet op orde zou zijn en dat de besturing bij Waternet verbeteringen ten aanzien van cybersecurity zou belemmeren. Dit signaal, in combinatie met de uitkomst van een bestuurlijk gesprek met Waternet over dit signaal, was voor de ILT reden om te besluiten tot een eigen onderzoek. Het doel van dit onderzoek was vast te stellen in hoeverre er sprake was van risico’s voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater. Het onderzoek is uitgevoerd in de periode van 24 november 2020 tot 5 februari 2021.