Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 19 februari 2019
Uw Kamer heeft mij op 29 november 2017 verzocht om in beeld te brengen wat de risico’s
zijn van cyberaanvallen op de Nederlandse infrastructuur (sluizen, bruggen, wegmarkering
enzovoort) en noodzakelijke maatregelen te treffen, bij motie met Kamerstuk 34 775 XII, nr. 28.
Met deze brief informeer ik u over de stand van zaken, waarbij ik eerst inga op de
reikwijdte van cybersecurity voor Infrastructuur en Waterstaat, vervolgens op mijn
directe en indirecte verantwoordelijkheden en waarbij ik afsluit met de ingezette
actualisatie van de beoordeling van cyberrisico’s.
Digitalisering speelt een grote rol in de hele samenleving. Tegenover de kansen die
de informatiesamenleving biedt staan ook risico’s. Ik zie het als mijn verantwoordelijkheid
om de digitale veiligheid goed te (laten) organiseren in de vitale sectoren1 en in de niet-vitale sectoren2 in het domein van Infrastructuur en Waterstaat. Dit zijn alle sterk tot zeer sterk
geautomatiseerde en gedigitaliseerde sectoren.
Vanuit onder andere mijn ministerie worden inspanningen verricht om de infrastructuur
te (laten) monitoren, eventuele aanvallen snel te detecteren en de responsprocessen
goed in te richten. De directe verantwoordelijkheid voor de digitale veiligheid van een belangrijk deel van de sectoren keren en beheren
waterkwantiteit, wegen en vaarwegen ligt bij mijn ministerie. De overeenkomstige inspanningen
worden uitgevoerd door het security center van Rijkswaterstaat en het Departementaal Crisis- en Coördinatiecentrum. Speciaal
voor de gehele waterketen (keren en beheren waterkwantiteit, waterkwaliteit, afvalwater
en drinkwater) heb ik bovendien op 31 oktober j.l. via het Bestuurlijk Akkoord Water
met mede-overheden en de drinkwatersector afspraken gemaakt over het gezamenlijk in
beeld brengen en beheersen van cybersecurity risico´s.
De inspanningen voor de andere sectoren binnen mijn beleidsverantwoordelijkheid liggen
bij andere, deels private, partijen. Samen met de partijen uit de drinkwatersector,
de scheep- en luchtvaart geef ik dezer dagen vorm aan de verplichtingen onder de nieuwe
Wet beveiliging netwerken en informatiesystemen (Wbni) en het toezicht hierop door de Inspectie Leefomgeving en Transport. Het komend
half jaar zet ik in op de formulering van eisen onder de zorgplicht die de Wbni aan
deze sectoren oplegt.
Voor veel van de genoemde sectoren zijn in 2015 vitaliteits-beoordelingen uitgevoerd
waarover de Minister van Veiligheid en Justitie uw Kamer op 12 mei 2015 heeft geïnformeerd3. Gezien de snelle ontwikkelingen in dreigingen, kwetsbaarheden en mogelijke gevolgen,
houd ik thans diverse beoordelingen opnieuw tegen het licht, ook die voor de niet-vitale
sectoren wegen en spoorwegen. Hierbij wordt meer dan voorheen gekeken naar ketenafhankelijkheden.
Ook voor de overige sectoren zal samen met de betrokken partijen een beter inzicht
in de risico’s worden verworven. Ik zal u over de uitkomsten hiervan regelmatig nader
informeren. Bovendien zullen deze uitkomsten onderdeel worden van de rapportage over
de Nationale Cyber Security Agenda die mijn collega van Justitie en Veiligheid u jaarlijks zal toezenden.
De Minister van Infrastructuur en Waterstaat,
C. van Nieuwenhuizen Wijbenga