De Inspectie Leefomgeving en Transport (ILT) heeft de Stichting Waternet onder verscherpt toezicht geplaatst. Uit onderzoek blijkt dat Waternet tekortschiet in de uitvoering van haar wettelijke zorg- en meldplicht en in het bestuur van de organisatie, waardoor zij onvoldoende grip heeft op de cybersecurity.
Waternet en ILT
Waternet verzorgt de drinkwatervoorziening in de gemeente Amsterdam en omgeving. Daarnaast beheert Waternet de riolering, beheert zij de waterpeilen en dijken van het Waterschap Amstel Gooi en Vecht en verzorgt zij de zuivering van afvalwater. De ILT is de toezichthouder voor de leveringszekerheid en kwaliteit van de openbare drinkwatervoorziening.
Wettelijk kader: zorgplicht en meldplicht
De Wet beveiliging netwerk- en informatiesystemen (Wbni) vormt het wettelijk kader met betrekking tot de (zorg)plichten rondom cybersecurity van bedrijven en organisaties in de vitale sector (zie ook deze eerdere blog). Drinkwaterbedrijven zoals Waternet zijn aangewezen als aanbieders van essentiële diensten (AED).
Op grond van de Wbni rust er op Waternet een zorgplicht voor cybersecurity en een meldplicht in geval van cyberincidenten die aanzienlijke gevolgen kunnen hebben voor de aangeboden dienst, in dit geval dus de drinkwatervoorziening.
Bedrijven en organisaties die onder de Wbni vallen moeten passende en evenredige technische en organisatorische maatregel nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen (artikel 7 Wbni). Het niveau van de maatregelen moet passen bij de risico’s die zich bij de bedrijven en organisaties voordoen.
Daarnaast moeten bedrijven en organisaties onder de Wbni passende maatregelen treffen om incidenten te voorkomen en de gevolgen van dergelijke incidenten zoveel mogelijk beperken (artikel 8 Wbni).
Deze normen worden verder geconcretiseerd in de Baseline Informatie Beveiliging Overheid (BIO) en – in het geval van Waternet – ook in de door de drinkwatersector zelf opgestelde Proces Automatiseringsnormen (PA-normen).
Tekortkomingen in cybersecurity en besturing
In de BIO worden onderwerpen genoemd zoals risicoanalyse, patchmanagement, lifecycle management, overeenkomsten met derden en logging/monitoring en response. In het onderzoek dat de ILT naar de cybersecurity bij Waternet heeft uitgevoerd, zijn deze onderwerpen nader bekeken. Hoewel Waternet op de meeste onderdelen beleid heeft en maatregelen heeft getroffen, acht de ILT dit onvoldoende uitgewerkt.
Zo constateert de ILT dat er bijvoorbeeld applicaties in bedrijf zijn die niet meer door leveranciers worden ondersteund, of die kwetsbaarheden vertonen die niet meer kunnen worden verholpen. Dergelijke kwetsbaarheden kunnen de ‘springplanken’ vormen voor aanvallen op andere systemen. Daarnaast werden gebreken geconstateerd in de logging en monitoring, waardoor eventuele incidenten mogelijk te laat zouden worden opgemerkt. Ook is er onvoldoende borging in het meenemen van security-eisen bij werkzaamheden door derden. In de praktijk zien wij dat vaker; cybersecurity dient echt een onderwerp te zijn bij het sluiten van contracten. Dat verheldert de verantwoordelijkheden van de betrokken partijen en voorkomt discussie achteraf. Bovendien versterkt het uiteindelijk de keten als geheel.
Ten aanzien van de besturing concludeert ILT dat deze niet doeltreffend genoeg is. Uit het onderzoek komt naar voren dat in de informatievoorziening over de voortgang van de digitalisering en de cyberveiligheid een goede duiding ontbreekt en dat er aan vragen niet altijd opvolging wordt gegeven. Cyberveiligheid komt ook niet terug in de onderwerpen waarover het bestuur verantwoording aflegt. Tot voor kort werd het belang van cyberveiligheid voor de drinkwatervoorziening niet als bestuurlijk thema gezien. Vrij vertaald luidt de conclusie derhalve dat de verantwoordelijkheid voor cybersecurity op geen van de bestuurlijke niveaus daadwerkelijk is geadresseerd, waardoor er geen integraal zicht is op deze risico’s.
Deze conclusie is kenmerkend. ICT en cybersecurity zijn/waren voor veel bedrijven slechts een onderdeel van de bedrijfsvoering en wel als ondersteunend element. Uit de conclusies van de ILT volgt dat die opvatting inmiddels achterhaald is: cybersecurity is een taak van het bestuur.
Risico’s tekortkomingen
De ILT constateert dat door de geconstateerde tekortkomingen zowel de kans als de impact van een eventueel cyberincident, met mogelijke gevolgen voor de kwaliteit en/of continuïteit van het drinkwater, groter zijn dan wanneer wel volledig aan de Wbni zou worden voldaan.
De tekortkomingen in de besturing leiden ertoe dat er een ongewenst risico ontstaat voor de waarborging van de drinkwater taak die Waternet heeft. Op directie en bestuurlijk niveau bestaat er geen integrale inschatting van de risico’s.
Hoewel Waternet reeds verbeteringen heeft doorgevoerd, meent de ILT dus dat Waternet op dit moment onvoldoende grip heeft op de cybersecurity. Waternet komt daarmee onder verscherpt toezicht totdat er weer sprake is van voldoende vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft.
Naar aanleiding van dit onderzoek zal de ILT nader onderzoeken in hoeverre de andere AED’s binnen het beleidsdomein van het ministerie van Infrastructuur en Waterstaat aan de zorg- en meldplicht uit de Wbni voldoen. Dit betreft in ieder geval alle drinkwaterbedrijven.
Conclusie
De beslissing van de ILT onderstreept het belang van aandacht voor cybersecurity binnen bedrijven en organisaties. In dit specifieke geval betreft het de vitale sector, maar ook daarbuiten is cybersecurity een onderwerp dat op bestuursniveau dient te worden opgepakt. In het kader van de Wbni geldt bovendien dat de toezichthouder over handhavingsbevoegdheden beschikt, zoals het opleggen van een last onder dwangsom en een bestuurlijke boete van maximaal 5 miljoen euro (artikel 28 en 29 Wbni). Genoeg reden dus om cybersecurity hoog op de (bestuurs)agenda te plaatsen.
Vragen?
Heeft u vragen over cybersecurity en uw juridische verplichtingen? Neem contact op met Nynke Brouwer of een van de andere leden van het Dirkzwager Cybersecurity Team.
