Waterschappen vinden het daarom noodzakelijk om te investeren in informatieveiligheid. Dit betekent:
- Waterschappen hanteren een risico-gestuurde benadering.
- Waterschappen zijn zich bewust van nieuwe wet- en regelgeving op landelijk en Europees niveau en implementeren deze tijdig. Waterschappen denken graag mee met de ministeries over de uitvoerbaarheid en betaalbaarheid van deze wetten.
- Waterschappen volgen waar passend de Rijkslijn op het gebied van appbeleid, cookiebeleid en beleid op kunstmatige intelligentie (AI).
- Waterschappen vinden informatieveiligheid belangrijk en onderkennen de noodzaak van een sterk informatieveiligheidsbeleid en goede samenwerking, zowel onderling als in de gehele keten.
Alleen samen staan we sterk. Daarom is het essentieel om als waterketen samen op te trekken en inzichtelijk te maken waar afhankelijkheden op gebied van informatieveiligheid liggen. Hiervoor werken de waterschappen samen met ketenpartners zoals Rijkswaterstaat, de provincies en gemeenten.
Informatieveilig denken en doen
De huidige primaire processen zijn en worden steeds meer informatie gedreven, zodat het werk nauwkeuriger, duurzamer en efficiënter verloopt. Tegelijkertijd zijn de processen hierdoor kwetsbaar geworden voor digitale aanvallen van binnen of buitenaf. Het is hiermee een uitdaging geworden om de toename van procesmatig werken niet ten koste te laten gaan van de (informatie)veiligheid en bedrijfscontinuïteit. Informatieveilig denken en doen behoort tot het thema Betrouwbaar digitaal waterschap van de Vaarkaart. Informatieveiligheid moet een vanzelfsprekendheid worden, vergelijkbaar met hoe de waterschappen van oudsher zorgen voor de waterveiligheid van het beheergebied.
Urgent
De waterschappen hebben de verantwoordelijkheid om informatie betrouwbaar, beschikbaar en correct op te slaan, te beheren en te ontsluiten. Na diverse incidenten rondom informatiebeveiliging en de toenemende cybercrime heeft dit onderwerp ook bij de waterschappen steeds meer aandacht gekregen.
Informatieveiligheid bij de waterschappen
De waterschappen voldoen aan de BIO (baseline informatiebeveiliging overheid) en streven ernaar om volwassenheidsniveau 4 te bereiken. Met volwassenheidsniveau 4 wordt bedoeld dat de waterschappen risicogestuurd werken en handelen volgens een organisatiebreed gedragen Plan-Do-Check-Act (PDCA)-cyclus. Iedere twee jaar laten ze een externe audit uitvoeren met als doel om te leren en te ontwikkelen. Voor het beveiligen van fysieke objecten (zoals gemalen, bruggen, keringen, sluizen en waterzuiveringsinstallaties) hanteren de waterschappen de CyberSecurity ImplementatieRichtlijn (CSIR).
Via het programma Informatieveiligheid en Privacy van het Waterschapshuis werken de waterschappen samen om hun digitale weerbaarheid te versterken. Eén van de initiatieven die de waterschappen hebben genomen, is om gezamenlijk ‘Security Operations Center’ (SOC)-diensten te gaan ontwikkelen. Doel hiervan is de detectie van digitale dreigingen en/of afwijkend gedrag, en de response hierop toekomstbestendig te organiseren.
Alle waterschappen, het Waterschapshuis en de Unie van Waterschappen nemen deel aan het CERT Watermanagement (CERT-WM). Het CERT-WM wisselt dreigingen en incident-informatie rondom informatieveiligheid uit, zorgt voor bewustwording bij de deelnemers en ondersteunt en adviseert over informatieveiligheid met als doel cyberdreigingen vroegtijdig te signaleren waardoor de waterschapsector adequaat kan reageren.
Versterken cyberweerbaarheid in de watersector
Waterschappen zijn op de hoogte van externe ontwikkelingen op het gebied van informatieveiligheid en zijn continu bezig met het versterken van de cyberweerbaarheid.
Waterschappen nemen actief deel in het programma Versterken cyberweerbaarheid in de watersector van het ministerie van IenW. De samenwerking met het ministerie van IenW, medeoverheden en ketenpartners zorgt ervoor dat we als weerbare watersector kunnen opereren. We zorgen er samen voor dat we nu en in de toekomst gesteld kunnen staan tegen cyberaanvallen.
De waterschappen volgen waar mogelijk de Rijkslijn op het gebied van applicaties vanuit landen met een offensief cyberprogramma, cookies en kunstmatige intelligentie (AI). Voor applicaties uit landen met een offensief cyberprogramma betekent dat we deze applicaties ontraden en werken met managed devices.. Daarnaast werkt het Rijk toe naar een afwegingskader voor applicaties. Als medeoverheden hebben we aangeboden om hierover mee te denken zodat maatregelen haalbaar, uitvoerbaar en betaalbaar zijn.
> Lees meer over de Nederlandse Cybersecurity strategie 2022-2028