Algemeen directeur van Evides Waterbedrijf Annette Ottolini is vanuit de tien drinkwater­bedrijven in Nederland portefeuillehouder Beveiliging & Crisis­management: “Op basis van uitgebreide risicoanalyses nemen de drinkwater­bedrijven continue maatregelen om de robuustheid en betrouwbaarheid van de drinkwater­zuiveringen te vergroten. Denk aan het redundant (dubbel) uitvoeren van zuiveringsstappen en belangrijke transport­leidingen. Mocht een stap in het proces door omstandigheden uitvallen, dan kan dit altijd overgenomen worden. En door slimme koppelingen te maken tussen de eigen leveringsgebieden, maar ook met de buurwater­bedrijven, kunnen we onze klanten in geval van nood via andere productielocaties voorzien van drinkwater.”

Ottolini schetst een aantal risico's waartegen de drink­watersector zich moet wapenen: ‘Daarbij kun je denken aan moedwillige acties van personen, zoals vandalisme, terrorisme of cybercrime. Maar ook natuur­rampen en andere grote industriële incidenten kunnen gevolgen hebben voor de drinkwatervoorziening: denk aan langdurige droogte, branden, overstromingen of uitval van elektriciteit. Onze grootste uitdagingen in de komende jaren zijn cybercrime voor onze geautomatiseerde besturingssystemen en daarnaast ruimtelijke adaptatie in verband met de klimaatveranderingen, vanwege de impact op onze infrastructuur.'

Ottolini vervolgt: 'Bekend is dat cyber­dreiging de laatste tijd sterk toeneemt en dat cybercriminelen continu proberen binnen te dringen in systemen van bedrijven en organisaties, ook in de publieke sector. De Wet Beveiliging Netwerk- en Informatie­systemen, die enkele jaren geleden in werking is getreden, kent voor elke vitale sector een aantoonbare zorgplicht voor de beveiliging van de netwerk- en informatiesystemen.'

De drinkwatersector heeft daarom in 2019 al proactief een eigen beveiligingsnorm voor de procesautomatisering (PA) opgesteld en een auditsysteem opgezet, op basis van continue verbetering. Deze PA-norm is getoetst en positief bevonden door TNO. Alle drinkwaterbedrijven houden elk jaar een interne review en eenmaal per vier jaar vindt een externe audit plaats naar de naleving van de PA-norm. De resultaten van deze externe audit worden overlegd aan de toezichthouder van de sector, de Inspectie Leefomgeving en Transport. De PA-norm van de drinkwatersector wordt erkend in een ministeriële regeling van het ministerie van Infrastructuur en Waterstaat (I&W) die nog dit jaar (1 juli 2021) in werking treedt.

Ook vanuit de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC) worden er grote cybercrisis­oefeningen georganiseerd met organisaties binnen de vitale sectoren zoals drinkwater­voorziening, nucleair, energie, infra­structuur en het bankwezen. Vorige maand deden zo’n 96 organisaties uit de publieke en private sector, omgerekend meer dan 1500 personen, nog mee aan de cyberoefening ISIDOOR, de grootste nationale cyber­crisisoefening ooit in Nederland gehouden. Met als doel het oefenen van de informatie uitwisseling, samenwerking en coördinatie bij een cybercrisis.

Ottolini: 'De drinkwatersector neemt het onderwerp veiligheid dus zeer serieus. Toch moeten we ook realistisch zijn; 100% veiligheid bestaat helaas nergens. We staan – samen met de overheid – voor enkele grote uitdagingen. Wij werken nauw samen met het ministerie van IenW en het NCSC van het ministerie van JenV. Het NCSC geeft ons nu nog op incidentele basis signalen over mogelijke problemen of risico’s voor de veiligheid. Als drinkwaterbedrijven zouden we graag ook structureel worden voorzien van informatie vanuit de inlichtingen­diensten, bijvoorbeeld over trends en ontwikkelingen in de verschillende bedreigingen voor onze sector. Met die kennis kunnen we als drink­waterbedrijven ons namelijk nóg beter voorbereiden op mogelijke dreigingen. In de Beleidsnota Drinkwater is de ontwikkeling van een overleg in de vorm van een zogeheten 'trusted channel' opgenomen tussen de drinkwatersector en de inlichtingendiensten. Wij zijn een groot voorstander van zo’n vertrouwde informatieroute en hopen dat de minister van IenW de totstandkoming van dit essentiële communicatiekanaal snel kan bewerkstelligen.'

De drinkwaterbedrijven werken ook nauw samen met het ministerie van IenW aan het programma 'Versterken cyberweerbaarheid in de watersector'. We doen onder andere onderzoek naar de mogelijkheden voor het opzetten van een drinkwater­breed Security Operations Center of SOC. Zo'n centrum zou alle computer- en netwerkactiviteiten rondom de procesautomatisering in de drinkwatersector centraal kunnen monitoren. Op dit moment regelen de tien drinkwaterbedrijven deze detectie van hun netwerken nog afzonderlijk, maar de wens is nadrukkelijk om te kijken of we tot een efficiënte en effectieve bundeling van krachten en kennis kunnen komen.

Binnen ditzelfde programma doen de drinkwaterbedrijven samen met Rijkswater­staat en andere partners breed onderzoek naar kwetsbaarheden binnen de gehele waterketen, dus niet alleen bij de drink­watersector. Hierbij wordt bijvoorbeeld gekeken naar mogelijke afhankelijk­heden tussen de verschillende waterketen­partners en naar de noodzaak voor aanvullende maatregelen.