26 643 Informatie- en communicatietechnologie (ICT)

Nr. 733 BRIEF VAN DE MINISTER VAN INFRASTRUCTUUR EN WATERSTAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 december 2020

In het Wetgevingsoverleg Water en Wadden van 1 december 2020 (Kamerstukken 35 570 XII en 35 570 J, nr. 98) en in mijn brief van 4 december 20201 heb ik toegezegd uw Kamer op korte termijn schriftelijk nader te informeren over het onderzoek dat de Inspectie Leefomgeving en Transport (ILT) uitvoert naar de cybersecurity bij Waternet. Vanwege het vertrouwelijke karakter van de informatie die de ILT als toezichthouder van Waternet heeft ontvangen, beperk ik mij op deze plek tot de hoofdlijnen. Zoals toegezegd aan uw Kamer zal begin volgend jaar een vertrouwelijke technische briefing plaatsvinden over cyber security van de waterwerken.

Terugblik

Zoals gemeld in de brief van 4 november 20202, ben ik als Minister van Infrastructuur en Waterstaat op basis van de Waterwet en de Drinkwaterwet systeemverantwoordelijk voor de continuïteit van het waterbeheer en de openbare drinkwatervoorziening. Deze systeemverantwoordelijkheid geldt ook voor de cybersecurity van waterstaatswerken en de openbare drinkwatervoorziening. De primaire verantwoordelijkheid ligt uiteraard bij de waterbeheerders: waterschappen, gemeenten, de drinkwaterbedrijven en Rijkswaterstaat. Voor RWS ben ik rechtstreeks verantwoordelijk.

In het kader van de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn de drinkwaterbedrijven aangewezen als Aanbieder van Essentiele Diensten (AED’s). De zorgplicht uit de Wbni is aanvullend op de eisen die de Drinkwaterwet3 al stelde voor de komst van de Wbni. Voor drinkwaterbedrijven ben ik op grond van artikel 4 van de Wbni de bevoegde autoriteit. Ik wijs AED’s binnen het IenW domein aan, stel nadere eisen aan de zorgplicht, behandel meldingen van cyberincidenten en draag zorg voor de handhaving van de Wbni. Als niet wordt voldaan aan de Wbni kan de ILT handhaven.

Ten opzichte van de decentrale overheden in het waterbeheer heb ik – behoudens bevoegdheden voor calamiteiten in de Waterwet – geen specifieke bevoegdheden op het vlak van cybersecurity. Zij zijn dus zelfregulerend op het gebied van cybersecurity. Juist daarom zet ik hier in op het door middel van samenwerking binnen het Bestuursakkoord Water (BAW) stimuleren van de cyberweerbaarheid. Gemeenten, waterschappen, provincies en het Rijk hebben gezamenlijk besloten de Baseline Informatiebeveiliging Overheid (BIO) vanaf 2019 in te voeren. Het Kabinet heeft in december 2018 bepaald dat de BIO wordt gehanteerd in de informatie-uitwisseling met alle bestuurslagen.

De ILT heeft op grond van haar rol als toezichthouder in het kader van de zorgplicht in de Wbni nader onderzoek ingesteld bij Waternet. In mijn brief van 4 november 20204 en in de beantwoording van Kamervragen5 van het lid Van Brenk op 10 november 2020 heb ik uiteengezet wat de aanleiding was van de ILT om een eigen onderzoek in te stellen.

Toezicht ILT op cybersecurity bij Waternet

De ILT is bij Waternet uitsluitend toezichthouder voor het deel dat betrekking heeft op de levering van drinkwater. Het ILT-onderzoek beperkt zich daarom tot aspecten van drinkwaterveiligheid en leveringszekerheid. De ILT is haar onderzoek gestart door het in beeld brengen van de juiste informatie die nodig is voor een beoordeling op de punten cyberveiligheid en governance in relatie tot de kwaliteit en leveringszekerheid van Drinkwater. Om een oordeel uit te kunnen spreken of de stappen die Waternet zet afdoende zijn om de geconstateerde problemen aan te pakken, wil de ILT beschikken over een zo compleet mogelijk beeld. Waternet heeft een aantal (organisatorische) maatregelen genomen of in gang gezet zoals herstructurering van de IT organisatie en het aanstellen van een Chief Information Officer. Ik verwijs u graag naar de raadsbrief aan de Gemeenteraad van Amsterdam d.d. 8 december 20206.

Directe aanleiding voor de ILT om een eigen onderzoek in te stellen vormde het bestuurlijk gesprek dat de ILT met de directie van Waternet op 27 oktober 2020 heeft gevoerd. Het feit dat Waternet de ILT niet eerder heeft geïnformeerd over de inhoud van een eerdere verrichte pen-test waarover Follow the Money had bericht, baarde de ILT zorgen en was voor de ILT mede reden om het inmiddels aangekondigde nader onderzoek door Waternet zelf niet af te wachten en te besluiten tot een eigen onderzoek.

Op basis van de Drinkwaterwet beoordeelt de ILT de leveringsplannen van de drinkwaterbedrijven7. In dat kader beschikt ILT ook over de relevante audit-rapporten, waaronder het onderzoek op de beveiliging van de proces-automatisering bij Waternet door een externe auditor en het bijbehorende verbeterplan. De ILT neemt het verbeterplan mee in haar onderzoek.

Vervolgstappen

Waternet heeft de ILT actief geïnformeerd over de concept-uitkomsten van het door hen opgedragen externe onderzoek, de uitkomsten van een contra-expertise die is uitgevoerd in opdracht van het Stichtingsbestuur en een brief van 3 december 2020 van de wethouder8 aan de gemeenteraad van Amsterdam. De ILT sluit bij haar onderzoek aan op deze stappen. U bent hierover door mij op 4 december jl. geïnformeerd.

De ILT heeft kennis genomen van de onderzoeken die inmiddels door Waternet zelf zijn uitgevoerd. Als onafhankelijk toezichthouder verzamelt, valideert en beoordeelt de ILT eigenstandig de situatie bij Waternet en de maatregelen die inmiddels door Waternet zijn genomen. De ILT heeft een onderzoeksteam ingesteld dat het onderzoek heeft opgestart en met de directie van Waternet zijn operationele afspraken gemaakt die een zorgvuldige en efficiënte uitvoering van het onderzoek borgen. De uitvoering van het onderzoek en het vergaren van een zo compleet mogelijk beeld om conclusies te kunnen trekken over de situatie bij Waternet, vragen om een gedegen en zorgvuldige aanpak. Het onderzoek bestaat uit verschillende stappen: vooronderzoek, veldwerk, analyse en rapportage (inclusief hoor en wederhoor). De verwachting van de ILT is dat het onderzoek in maart 2021 gereed is. Zolang het onderzoek niet is afgerond, kan niet op de uitkomsten ervan vooruit worden gelopen. Uiteraard wordt uw Kamer hierover geïnformeerd.

De Minister van Infrastructuur en Waterstaat, C. van Nieuwenhuizen Wijbenga


X Noot
1

Kamerstuk 26 643, nr. 730.

X Noot
2

Kamerstuk 27 625, nr. 522.

X Noot
3

In de Drinkwaterwet zijn eisen gesteld aan leveringsplannen van de drinkwaterbedrijven, die op basis van scenario’s maatregelen moeten bevatten die verstoring van de drinkwatervoorziening voorkomen en daartoe behoort ook cybersecurity. De ILT beoordeelt de leveringsplannen, keurt deze goed en ziet toe op de naleving van de wettelijke eisen. De Drinkwaterwet bevat als extra waarborg noodbevoegdheden voor de Minister van IenW om de drinkwatervoorziening veilig te stellen in geval van buitengewone omstandigheden.

X Noot
4

Kamerstuk 27 625, nr. 522.

X Noot
5

Aanhangsel Handelingen II 2020/21, nr. 750.

X Noot
7

Om de vier jaar worden deze plannen opgesteld in aansluiting op eerder in het jaar opgestelde verstorings-risicoanalyses. Het gaat daarbij om vrijwel alle aspecten van de productie en levering van drinkwater. Cybersecurity maakt onderdeel uit van deze analyses en plannen.

Naar boven