Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 februari 2019

Uw Kamer heeft mij op 29 november 2017 verzocht om in beeld te brengen wat de risico’s zijn van cyberaanvallen op de Nederlandse infrastructuur (sluizen, bruggen, wegmarkering enzovoort) en noodzakelijke maatregelen te treffen, bij motie met Kamerstuk 34 775 XII, nr. 28.

Met deze brief informeer ik u over de stand van zaken, waarbij ik eerst inga op de reikwijdte van cybersecurity voor Infrastructuur en Waterstaat, vervolgens op mijn directe en indirecte verantwoordelijkheden en waarbij ik afsluit met de ingezette actualisatie van de beoordeling van cyberrisico’s.

Digitalisering speelt een grote rol in de hele samenleving. Tegenover de kansen die de informatiesamenleving biedt staan ook risico’s. Ik zie het als mijn verantwoordelijkheid om de digitale veiligheid goed te (laten) organiseren in de vitale sectoren1 en in de niet-vitale sectoren2 in het domein van Infrastructuur en Waterstaat. Dit zijn alle sterk tot zeer sterk geautomatiseerde en gedigitaliseerde sectoren.

Vanuit onder andere mijn ministerie worden inspanningen verricht om de infrastructuur te (laten) monitoren, eventuele aanvallen snel te detecteren en de responsprocessen goed in te richten. De directe verantwoordelijkheid voor de digitale veiligheid van een belangrijk deel van de sectoren keren en beheren waterkwantiteit, wegen en vaarwegen ligt bij mijn ministerie. De overeenkomstige inspanningen worden uitgevoerd door het security center van Rijkswaterstaat en het Departementaal Crisis- en Coördinatiecentrum. Speciaal voor de gehele waterketen (keren en beheren waterkwantiteit, waterkwaliteit, afvalwater en drinkwater) heb ik bovendien op 31 oktober j.l. via het Bestuurlijk Akkoord Water met mede-overheden en de drinkwatersector afspraken gemaakt over het gezamenlijk in beeld brengen en beheersen van cybersecurity risico´s.

De inspanningen voor de andere sectoren binnen mijn beleidsverantwoordelijkheid liggen bij andere, deels private, partijen. Samen met de partijen uit de drinkwatersector, de scheep- en luchtvaart geef ik dezer dagen vorm aan de verplichtingen onder de nieuwe Wet beveiliging netwerken en informatiesystemen (Wbni) en het toezicht hierop door de Inspectie Leefomgeving en Transport. Het komend half jaar zet ik in op de formulering van eisen onder de zorgplicht die de Wbni aan deze sectoren oplegt.

Voor veel van de genoemde sectoren zijn in 2015 vitaliteits-beoordelingen uitgevoerd waarover de Minister van Veiligheid en Justitie uw Kamer op 12 mei 2015 heeft geïnformeerd3. Gezien de snelle ontwikkelingen in dreigingen, kwetsbaarheden en mogelijke gevolgen, houd ik thans diverse beoordelingen opnieuw tegen het licht, ook die voor de niet-vitale sectoren wegen en spoorwegen. Hierbij wordt meer dan voorheen gekeken naar ketenafhankelijkheden. Ook voor de overige sectoren zal samen met de betrokken partijen een beter inzicht in de risico’s worden verworven. Ik zal u over de uitkomsten hiervan regelmatig nader informeren. Bovendien zullen deze uitkomsten onderdeel worden van de rapportage over de Nationale Cyber Security Agenda die mijn collega van Justitie en Veiligheid u jaarlijks zal toezenden.

De Minister van Infrastructuur en Waterstaat, C. van Nieuwenhuizen Wijbenga