Cyberveiligheid en fysieke weerbaarheid staan mede door de geopolitieke ontwikkelingen volop op de agenda. Bovendien worden drie relevante Europese richtlijnen op dit moment omgezet in nationale wetgeving: de Network Information Security Directive (NIS2), de Critical Entities Resilience Directive (CER) en de Cyber Resilience Act (CRA).
De NIS2 en de CRA gaan over de cyberveiligheid en wat overheden (NIS2) en fabrikanten, distributeurs en importeurs van hardware en software (CRA) moeten doen zodat digitale producten en diensten in Europa veiliger worden. Dat gaat over bewustwording, kennisniveau, protocollen, gebruik van standaarden, oefenen, compartimentering en restrisico’s. De essentie is: voorbereiden bevat ‘voor’, dus wacht niet af.
Afvalwater is een kritische sector
De CER wijst kritische sectoren aan en geeft regels ter bescherming van de essentiële diensten van die sectoren voor het in stand houden van belangrijke maatschappelijke functies, het ondersteunen van de economie, het waarborgen van de volksgezondheid en veiligheid en het beschermen van het milieu. De sector afvalwater (inzameling, transport en zuivering) is bestempeld als één van de kritische sectoren. Dat stempel betekent overigens niet dat er zwaardere eisen zijn, elke sector moet z’n zaken op orde hebben.
De Nederlandse overheid beoogt de omzetting naar nationale wetgeving in het derde kwartaal van 2025 af te ronden. Tot dat moment geldt er geen verplichting om aan de richtlijnen te voldoen, maar is het wel raadzaam om na te denken over de impact en erop voor te bereiden.
Wat geldt nu al en wat kun je doen?
Een aantal onderdelen van de nieuwe wetgeving is al wel duidelijk. Zo zal de Baseline Informatiebeveiliging Overheid (BIO) in een beperkt bijgewerkte versie (BIO2) onderdeel zijn van de verwerking van de NIS2 in Nederlandse wetgeving. Voor gemeenten en waterschappen én hun contractpartners geldt de huidige BIO al sinds 2018, en de stap naar BIO2 is klein als de BIO al gevolgd wordt.
Voor leveranciers en handelaren van apparatuur en software betekent de CRA dat zij moeten voldoen aan verplichte eisen voor cyberbeveiliging over de gehele levenscyclus van de producten. Die verplichting betekent een stuk ontzorging voor opdrachtgevers uit het stedelijk waterbeheer. Gemeenten en waterschappen kunnen hun leveranciers nu al vragen naar de aanpak en plannen voor betere cyberveiligheid, stabiliteit en fysieke bescherming van hardware- en softwaresystemen.
IBD handreiking procesautomatisering
Voor beheerders van systemen waarin procesautomatisering een rol speelt, zoals telemetrie, gemalenbeheer, mechanische riolering e.d., biedt de Informatiebeveiligingsdienst van de VNG een handreiking om de BIO te implementeren. Daarmee kunnen gemeenten samen met hun leveranciers de beschikbaarheid, vertrouwelijkheid en integriteit van de systemen verbeteren. De handreiking is hier beschikbaar
.
Zodra meer bekend is over de concrete verplichtingen, verantwoordelijkheden en de omzetting in nationale wetgeving van de NIS2, CER en CRA zal Stichting RIONED hierover publiceren. We zullen dan een op stedelijk waterbeheer toegespitste checklist en andere hulpmiddelen bieden om de cyber- en fysieke weerbaarheid van het stedelijk waterbeheer (verder) te verbeteren.