Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 april 2021

Hierbij stuur ik u het Onderzoeksrapport Stichting Waternet van de Inspectie Leefomgeving en Transport (ILT)1.

In het Wetgevingsoverleg Water d.d. 1 december 2020 (Kamerstukken 35 570 XII en 35 570 J, nr. 98) als ook in reactie op schriftelijke vragen van het lid Van Brenk (50PLUS, beantwoord op 10 november 20201 en op 5 maart 20212) heb ik u toegezegd uw Kamer over de uitkomsten van het ILT-onderzoek te informeren.

De ILT concludeert dat de drinkwaterorganisatie van Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Dit wordt veroorzaakt door een aantal tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht ingevolge de Wet beveiliging netwerk- en informatiesystemen (Wbni) en in de besturing van de organisatie ingevolge de Drinkwaterwet en Wbni. Dit vormt een risico voor de waarborging van de kwaliteit en leveringszekerheid van drinkwater.

De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Voor wat betreft de meldplicht is te verwachten dat daadwerkelijke incidenten die boven de drempelwaarde uitstijgen, volgens de juiste procedure worden gemeld. Waternet heeft echter nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. Daardoor kan het mogelijk langer duren voordat incidenten zijn opgelost en kunnen de gevolgen van incidenten onnodig groter worden. Naast deze tekortkomingen constateert de ILT dat integraal toezicht in het ontwerp van de bestuurlijke structuur op de drinkwatertaak ontbreekt. Er vindt onvoldoende gestructureerd risicomanagement, evaluatie en bijsturing plaats. De drinkwatertaak en cybersecurity worden op strategisch niveau onvoldoende gewaarborgd, de borging van drinkwaterprocessen vindt vooral op operationeel niveau plaats.

De ILT constateert dat Waternet inmiddels een aantal stappen heeft gezet ter verbetering van de tekortkomingen in de uitvoering van de wettelijke zorgplicht en meldplicht. Tevens evalueert Waternet het besturingsmodel. De ILT vindt dit een positieve ontwikkeling, maar benadrukt het belang om zo snel mogelijk voldoende grip te hebben op het uitvoeren van verbeteringen, hier voldoende inzicht in te hebben en indien nodig tijdig bij te sturen.

De ILT stelt Waternet daarom de komende periode onder verscherpt toezicht. Dit houdt in dat de ILT gaat toezien op de verbetering van de uitvoering van de wettelijke zorgplicht en meldplicht en de besturing. Hierbij hoort de plicht tot het actualiseren en uitvoeren van een verbeterplan voor de door de ILT geconstateerde tekortkomingen. De ILT beoordeelt het verbeterplan en houdt scherp in de gaten of de gemaakte plannen worden uitgevoerd. Het verscherpt toezicht zal duren tot het moment dat er weer sprake is van vertrouwen dat Waternet de leveringszekerheid en kwaliteit van drinkwater en de daarvoor benodigde besturing en processen, in het bijzonder die van cybersecurity, in voldoende mate op orde heeft.

Mede gezien de uitkomsten van dit onderzoek, zal de ILT in 2021 nader onderzoek instellen in hoeverre de andere aanbieders van essentiële diensten (AED’s) binnen het beleidsdomein van IenW, waaronder alle drinkwaterbedrijven, voldoen aan de zorg- en meldplicht uit de Wbni.

In navolging van mijn Kamerbrieven4 van 22 juni en 4 november 2020 zal ik u na het meireces ten behoeve van het Algemeen Overleg Water en Wadden5 schriftelijk nader informeren over de vervolgacties in het kader van het versterken van cybersecurity in watersector.

De Minister van Infrastructuur en Waterstaat, C. van Nieuwenhuizen Wijbenga