De Unie van Waterschappen heeft om meer duidelijkheid gevraagd over de regels voor informatiebeveiliging in de watersector. Aanleiding is een brief van minister David van Weel, waarin hij aangeeft te werken aan verdere uitwerking van cybersecuritybeleid voor deze vitale sector. Morgen wordt er in de Tweede Kamer gestemd over wetsvoorstellen en amandementen met betrekking tot de Wet weerbaarheid kritieke entiteiten (Wwke) en de Cyberbeveiligingswet (Cbw) plaats.
Waterschappen willen duidelijkheid over cybersecurityregels
Er ontbreken concrete richtlijnen en er is er onduidelijkheid over verantwoordelijkheden.
Waterschappen beheren belangrijke onderdelen van de Nederlandse infrastructuur, zoals dijken, gemalen en waterzuiveringsinstallaties. Door de toenemende digitalisering van deze systemen groeit ook het belang van goede informatiebeveiliging. Volgens de sector kunnen verstoringen grote gevolgen hebben voor veiligheid, volksgezondheid en milieu.
De minister wil onder meer het Computer Emergency Response Team Water Management (CERT-WM) formeel aanwijzen als sectorale organisatie voor cybersecurity. Dit team ondersteunt waterschappen bij het voorkomen, signaleren en afhandelen van cyberincidenten.
Onvoldoende duidelijkheid
Tegelijkertijd geven de waterschappen aan dat er nog onvoldoende duidelijkheid is over de precieze invulling van de regels. Zo ontbreken volgens hen concrete richtlijnen, is er onduidelijkheid over verantwoordelijkheden en is er behoefte aan meer inzicht in risico’s op nationaal niveau. Die duidelijkheid is volgens de sector nodig om gericht maatregelen te kunnen nemen.
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Opnieuw een teken aan de wand.
De op de watersector van toepassing zijnde verantwoordelijkheden en regels voor informatiebeveiliging zijn reeds lang bekend.
Deze regels worden nu deels verder uitgewerkt en er komt een ondersteunend team.
Dat de waterschappen nu klagen over 'onvoldoende duidelijkheid ' impliceert dat men onvoldoende bekend is met deze bestaande verantwoordelijkheden en regels, en derhalve ook geen weerwerk kan leveren tegenover het ministerie.
Bovendien is men hoogstwaarschijnlijk niet compliant, want compliancy moet men kunnen aantonen. Het verantwoordelijk management zal het waarschijnlijk hebben uitbesteed, vergetende dat men niettemin hoofdverantwoordelijk blijft.
Eigenlijk niets nieuws, want dit gaat voor privacy en systeembeveiliging al decennia zo.