Brief regering : Onderzoek door Inspectie Leefomgeving en Transport (ILT) naar cybersecurity Waternet

Nr. 733 BRIEF VAN DE MINISTER VAN INFRASTRUCTUUR EN WATERSTAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 december 2020

In het Wetgevingsoverleg Water en Wadden van 1 december 2020 (Kamerstukken 35 570 XII en 35 570 J, nr. 98) en in mijn brief van 4 december 20201 heb ik toegezegd uw Kamer op korte termijn schriftelijk nader te informeren over
het onderzoek dat de Inspectie Leefomgeving en Transport (ILT) uitvoert naar de cybersecurity
bij Waternet. Vanwege het vertrouwelijke karakter van de informatie die de ILT als
toezichthouder van Waternet heeft ontvangen, beperk ik mij op deze plek tot de hoofdlijnen.
Zoals toegezegd aan uw Kamer zal begin volgend jaar een vertrouwelijke technische
briefing plaatsvinden over cyber security van de waterwerken.

Terugblik

Zoals gemeld in de brief van 4 november 20202, ben ik als Minister van Infrastructuur en Waterstaat op basis van de Waterwet en
de Drinkwaterwet systeemverantwoordelijk voor de continuïteit van het waterbeheer
en de openbare drinkwatervoorziening. Deze systeemverantwoordelijkheid geldt ook voor
de cybersecurity van waterstaatswerken en de openbare drinkwatervoorziening. De primaire
verantwoordelijkheid ligt uiteraard bij de waterbeheerders: waterschappen, gemeenten,
de drinkwaterbedrijven en Rijkswaterstaat. Voor RWS ben ik rechtstreeks verantwoordelijk.

In het kader van de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn de
drinkwaterbedrijven aangewezen als Aanbieder van Essentiele Diensten (AED’s). De zorgplicht
uit de Wbni is aanvullend op de eisen die de Drinkwaterwet3 al stelde voor de komst van de Wbni. Voor drinkwaterbedrijven ben ik op grond van
artikel 4 van de Wbni de bevoegde autoriteit. Ik wijs AED’s binnen het IenW domein
aan, stel nadere eisen aan de zorgplicht, behandel meldingen van cyberincidenten en
draag zorg voor de handhaving van de Wbni. Als niet wordt voldaan aan de Wbni kan
de ILT handhaven.

Ten opzichte van de decentrale overheden in het waterbeheer heb ik – behoudens bevoegdheden
voor calamiteiten in de Waterwet – geen specifieke bevoegdheden op het vlak van cybersecurity.
Zij zijn dus zelfregulerend op het gebied van cybersecurity. Juist daarom zet ik hier
in op het door middel van samenwerking binnen het Bestuursakkoord Water (BAW) stimuleren
van de cyberweerbaarheid. Gemeenten, waterschappen, provincies en het Rijk hebben
gezamenlijk besloten de Baseline Informatiebeveiliging Overheid (BIO) vanaf 2019 in
te voeren. Het Kabinet heeft in december 2018 bepaald dat de BIO wordt gehanteerd
in de informatie-uitwisseling met alle bestuurslagen.

De ILT heeft op grond van haar rol als toezichthouder in het kader van de zorgplicht
in de Wbni nader onderzoek ingesteld bij Waternet. In mijn brief van 4 november 20204 en in de beantwoording van Kamervragen5 van het lid Van Brenk op 10 november 2020 heb ik uiteengezet wat de aanleiding was
van de ILT om een eigen onderzoek in te stellen.

Toezicht ILT op cybersecurity bij Waternet

De ILT is bij Waternet uitsluitend toezichthouder voor het deel dat betrekking heeft
op de levering van drinkwater. Het ILT-onderzoek beperkt zich daarom tot aspecten
van drinkwaterveiligheid en leveringszekerheid. De ILT is haar onderzoek gestart door
het in beeld brengen van de juiste informatie die nodig is voor een beoordeling op
de punten cyberveiligheid en governance in relatie tot de kwaliteit en leveringszekerheid
van Drinkwater. Om een oordeel uit te kunnen spreken of de stappen die Waternet zet
afdoende zijn om de geconstateerde problemen aan te pakken, wil de ILT beschikken
over een zo compleet mogelijk beeld. Waternet heeft een aantal (organisatorische)
maatregelen genomen of in gang gezet zoals herstructurering van de IT organisatie
en het aanstellen van een Chief Information Officer. Ik verwijs u graag naar de raadsbrief
aan de Gemeenteraad van Amsterdam d.d. 8 december 20206.

Directe aanleiding voor de ILT om een eigen onderzoek in te stellen vormde het bestuurlijk
gesprek dat de ILT met de directie van Waternet op 27 oktober 2020 heeft gevoerd.
Het feit dat Waternet de ILT niet eerder heeft geïnformeerd over de inhoud van een
eerdere verrichte pen-test waarover Follow the Money had bericht, baarde de ILT zorgen
en was voor de ILT mede reden om het inmiddels aangekondigde nader onderzoek door
Waternet zelf niet af te wachten en te besluiten tot een eigen onderzoek.

Op basis van de Drinkwaterwet beoordeelt de ILT de leveringsplannen van de drinkwaterbedrijven7. In dat kader beschikt ILT ook over de relevante audit-rapporten, waaronder het onderzoek
op de beveiliging van de proces-automatisering bij Waternet door een externe auditor
en het bijbehorende verbeterplan. De ILT neemt het verbeterplan mee in haar onderzoek.

Vervolgstappen

Waternet heeft de ILT actief geïnformeerd over de concept-uitkomsten van het door
hen opgedragen externe onderzoek, de uitkomsten van een contra-expertise die is uitgevoerd
in opdracht van het Stichtingsbestuur en een brief van 3 december 2020 van de wethouder8 aan de gemeenteraad van Amsterdam. De ILT sluit bij haar onderzoek aan op deze stappen.
U bent hierover door mij op 4 december jl. geïnformeerd.

De ILT heeft kennis genomen van de onderzoeken die inmiddels door Waternet zelf zijn
uitgevoerd. Als onafhankelijk toezichthouder verzamelt, valideert en beoordeelt de
ILT eigenstandig de situatie bij Waternet en de maatregelen die inmiddels door Waternet
zijn genomen. De ILT heeft een onderzoeksteam ingesteld dat het onderzoek heeft opgestart
en met de directie van Waternet zijn operationele afspraken gemaakt die een zorgvuldige
en efficiënte uitvoering van het onderzoek borgen. De uitvoering van het onderzoek
en het vergaren van een zo compleet mogelijk beeld om conclusies te kunnen trekken
over de situatie bij Waternet, vragen om een gedegen en zorgvuldige aanpak. Het onderzoek
bestaat uit verschillende stappen: vooronderzoek, veldwerk, analyse en rapportage
(inclusief hoor en wederhoor). De verwachting van de ILT is dat het onderzoek in maart
2021 gereed is. Zolang het onderzoek niet is afgerond, kan niet op de uitkomsten ervan
vooruit worden gelopen. Uiteraard wordt uw Kamer hierover geïnformeerd.

De Minister van Infrastructuur en Waterstaat, C. van Nieuwenhuizen Wijbenga