Waternet komt onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT). Volgens de inspectie blijkt uit onderzoek dat het Amsterdamse watercyclusbedrijf zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity.
Door deze tekortkomingen is er een verhoogd risico op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater.
Waternet geldt als aanbieder van een essentiële dienst (AED). Deze diensten zijn volgens de Wet beveiliging netwerk- en informatiesystemen van groot belang voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van essentiële diensten worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven, schrijft de ILT.
Waternet heeft als AED een zorg- en een meldplicht. In de uitvoering van beide plichten schiet het watercyclusbedrijf tekort, aldus de ILT. “De belangrijkste tekortkomingen in de zorgplicht zijn: onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response.”
Voor wat betreft de meldplicht heeft Waternet nog geen procedure voor het melden van ICT-inbreuken die aanzienlijke gevolgen voor de continuïteit van de drinkwaterlevering kunnen hebben. De ILT constateert dat de besturing niet doeltreffend genoeg is, terwijl dit een belangrijke voorwaarde is voor het waarborgen van de drinkwatertaak en de cybersecurity.
De komende tijd gaat de ILT toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing. Dat toezicht houdt aan totdat de inspectie er vertrouwen in heeft dat Waternet zijn zaakjes weer op orde heeft.
MEER INFORMATIE
H2O Actueel: ILT gaat digitale beveiliging Waternet onderzoeken