De stichting Waternet komt onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT). De drinkwaterorganisatie heeft zowel op bestuurlijk als organisatorisch niveau onvoldoende grip op de eigen cybersecurity.
Dit wordt volgens ILT veroorzaakt door tekortkomingen in de uitvoering van de wettelijke zorg- en meldplicht en de besturing van de organisatie. Hierdoor is een verhoogd risico aanwezig op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater. De ILT gaat de komende tijd toezien op de verbetering van de uitvoering van de wettelijke zorg- en meldplicht en de besturing van Waternet.
Waternet is binnen de Wet beveiliging netwerk- en informatiesystemen (Wbni) aangewezen als aanbieder van een essentiële dienst (AED), die van groot belang is voor het goed functioneren van de Nederlandse samenleving en economie. Als de ICT-systemen van deze AED’s worden gecompromitteerd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven.
Meldplicht
De Wbni regelt een zorgplicht – het treffen van beveiligingsmaatregelen zodat de kerntaak van de organisatie kan worden blijven uitgevoerd – en een meldplicht van incidenten. Ten aanzien van de uitvoering van beide heeft de ILT tekortkomingen geconstateerd.
De belangrijkste tekortkomingen zijn onvoldoende risicomanagement, onvoldoende evaluatie en verbeterprocessen en beperkingen in detectie en incident-response. Daarnaast doet de ILT in haar rapport meerdere constateringen op onderdelen van de PA-norm (een door de drinkwatersector opgestelde norm voor de procesautomatisering om invulling te geven aan de zorgplicht) en op het gebied van cybersecurity in het algemeen bij Waternet.