RIONED Jubileumlogo 2026 RGB Nieuw Nobg

Stappenplan voor de beheerder

Publicatiedatum
04 februari 2026
Laatst geactualiseerd
09 februari 2026

Stappen voor beheerders naar betere fysieke en cyberweerbaarheid

Hieronder worden vijf stappen toegelicht hoe elke beheerder van stedelijk watersystemen en -objecten de huidige situatie in beeld kan krijgen, knelpunten kan ontdekken, verbetermaatregelen kan nemen en daarmee de beheerprocessen, -systemen en de sector weerbaarder, veerkrachtiger en veiliger kan maken. Algemene uitleg wordt telkens gevolgd door een kader met een concrete checklist.

Ken het systeem

Weten wat onder je beheer valt is vanzelfsprekend. Daarvoor worden beheerpakketten ingezet die een overzicht geven van het areaal. Het is van belang dat daarin alle beschikbare en actuele informatie terug te vinden is. Informatie missen is al erg, maar foute informatie is vaak nog problematischer: daarop kunnen verkeerde beslissingen worden genomen.

Probeer daarom alle wijzigingen en revisies binnen afzienbare tijd in het beheersysteem te verwerken – het is voor velen een minder leuke administratieklus, maar het voordeel is dat niet alleen jijzelf, maar ook anderen over betrouwbare informatie kunnen beschikken.

Niet alleen het aanwezig en actueel zijn van de gegevens is essentieel, maar ook de compleetheid: staat alle informatie die beschikbaar is en van belang kan zijn in het systeem. Ook dit voorkomt zoeken wanneer die informatie beschikbaar moet zijn.

Je bepaalt natuurlijk voor een deel zelf wanneer de informatie als “compleet” kan worden betiteld, maar er zijn een aantal zaken die misschien wat minder voor de hand liggen om vast te leggen maar wel van belang zijn in je areaal. Ook zullen nadere analyse en (calamiteiten)oefeningen gaandeweg laten zien welke belangrijke informatie nog ontbreekt.

Checklist risico-inventarisatie:

  • Ga van elk object uit de areaal-inventarisatie na:
    • Risico’s
      • Maak een lijst van alle risico’s die er voor het object gelden voor wat betreft:
        • Onbeschikbaarheid
        • Oncontroleerbaarheid
        • Onjuiste werking (op basis van slechtste scenario: het object doet precies wat je niet wilt)
    • Impact
      • Omschrijf bij elk risico wat de gevolgen zijn
      • Maak een risicomatrix waarin risico, impact en waarschijnlijkheid tegen elkaar uitgezet zijn 
    • Relaties
      • Welke relaties zijn er die de werking van dit object beïnvloeden?
      • Welke relaties zijn er die door een probleem met dit object beïnvloedt worden?
    • Mitigatie [Op basis van impactanalyse; beginnen met hoogst waarschijnlijk en hoogste impact]
      • Bepaal per risico welke maatregelen getroffen kunnen worden om het risico te beperken/minimaliseren/weg te nemen
      • Bepaal per risico welke maatregelen getroffen moeten worden wanneer het daadwerkelijk plaatsvindt
  • Leg de constateringen/uitkomsten van deze inventarisatie vast en houdt deze actueel

Vervanging

Als beheerder ben je aanspreekpunt bij vragen of incidenten. Maar wat wanneer je – om welke reden dan ook – tijdelijk, voor langere tijd of misschien wel definitief, niet beschikbaar/bereikbaar bent. Is duidelijk – binnen en buiten de organisatie – bij wie ze dan terecht kunnen, en heeft die persoon (of personen) toegang tot de informatie die we hiervoor hebben vastgelegd – informatie en incidentbestrijdingsplan.

Vergeet daarbij ook de autorisatie niet. Beschikt de vervanger bijvoorbeeld over toegang tot bestanden of systemen? Als bij een incident een leverancier gebeld moet worden en die (er)kent jouw vervanger niet, is de kans aanwezig dat er alsnog geen of veel later actie uitgezet kan worden.

Houd een vervanger ook altijd op de hoogte van grote veranderingen die impact hebben op het deel waar ze (mede)verantwoordelijk voor zijn. Vaak zit een vervanger op de eigen afdeling en gaan dit soort veranderingen natuurlijk en zijn bij directbetrokkenen bekend, soms is dat echter niet het geval.

Tegelijk wil je niet dat sleutels, toegangscodes en andere gevoelige zaken zich verder verspreiden dan nodig is. Houd dus overzicht en bescherm en actualiseer toegangsrechten regelmatig.

Checklist beschikbaarheids-inventarisatie

  • Maak een lijst van alle taken die je hebt
  • Bepaal wie voor welke taak de 1e en 2e vervanging is. Leg contactgegevens vast.
  • Bepaal welke faciliteiten er nodig zijn voor deze werkzaamheden:
    • Fysieke toegang
    • Autorisaties in computersystemen
    • Bekendheid met systemen, documentatie, werkwijzen
    • Is bij externe partijen bekend dat deze personen geautoriseerd zijn?
  • Zijn de faciliteiten altijd beschikbaar of worden deze specifiek in gang gezet bij (langdurige) onbeschikbaarheid – in het laatste geval: leg de procedure vast
  • Is bij veranderingen die invloed hebben op bovenstaande zaken (bijv. nieuw softwarepakket, nieuwe leverancier, etc) in de procedure opgenomen dat deze meegenomen worden
  • Zodra toegang tot fysieke of digitale systemen niet meer nodig is, zorg voor passende beschermingsmaatregelen 

Hulp inschakelen

Als er echt iets aan de hand is, is het laatste wat je wilt dat je er helemaal alleen voor staat. Daarom wil je vooraf weten wie er in het geval van een incident beschikbaar zijn om je te helpen. Logisch is om hierbij te denken aan leveranciers, maar ook collega’s die bijvoorbeeld (pers/publieks)voorlichting voor je uit handen kunnen nemen.

Maak daarom vooraf afspraken hierover, op basis van de risico analyses die gemaakt zijn. Wie heb je wanneer nodig en hoe kun je hen bereiken. Wat mag je van ze verwachten en op welke termijn (met leveranciers zijn dit soort dingen bijvoorbeeld vastgelegd in een SLA, Service Level Agreement).

Ook dit soort dingen zijn onderdeel van een incidentbestrijdingsplan.

Checklist incident

  • Is er een incidentbestrijdingsplan en is dit onder elke omstandigheid te raadplegen?
    • Fysiek
      • Hoeveel fysieke exemplaren zijn er?
      • Waar/hoe/voor wie zijn deze toegankelijk?
        • Onder welke omstandigheden zijn deze niet toegankelijk?
      • Zijn er procedures om te zorgen dat deze altijd de actuele versie zijn?
    • Digitaal
      • Op hoeveel lokaties is er een digitaal exemplaar
      • Waar/hoe/voor wie zijn deze toegankelijk?
        • Onder welke omstandigheden zijn deze niet toegankelijk?
      • Zijn er procedures om te zorgen dat deze altijd de actuele versie zijn?
  • Bevat het incidentbestrijdingsplan de volgende zaken: (Indien het gaat om verwijzigingen naar, bepaal de beschikbaarheid als hierboven van elke verwijzing)?
    • Areaal-inventarisatie
    • Beschikbaarheids-inventarisatie
    • Risico-inventarisatie
    • Escalatie- en communicatie-procedures
    • Overzicht toegangsrechten, sleutelplan e.d.
    • Contact- en afsprakenlijst, voortkomend uit de beschikbare inventarisaties hierboven

In geval van nood

Ja, en toen ging het een keer mis. Al het voorgaande kan/moet nu in de praktijk gebracht worden. Juist nu is het belangrijk om over het incidentbestrijdingsplan te kunnen beschikken, daarom was het van belang dat het altijd en overal beschikbaar kan zijn.

Om dat te kunnen bewerkstelligen kan er geoefend worden. In de beginfase van het opstellen kan dat via een gedachtenexperiment waarbij je alles wat logisch lijkt ter discussie stelt: heb ik toegang tot het incidentbestrijdingsplan, waarom of wanneer niet, hoe kan dat opgelost worden, welke manieren van communicatie zijn er nog, enzovoorts.

Als er vertrouwen is dat de organisatie voorbereid is op een incident kan een keer een oefening gehouden worden waarbij uitval of een noodsituatie gesimuleerd wordt. Dit kan alleen voor het eigen vakgebied, maar wellicht ook breder binnen de organisatie. Bij zo’n oefening komen bijna altijd verbeterpunten naar boven die het hele proces verbeteren.

Checklist incident oefening

  • Houdt regelmatig binnen het eigen vakgebied gedachtenexperimenten met betrekking tot mogelijke incidenten
  • Leg deze vast, evalueer en gebruik voor verbeteringen
  • Zijn er binnen de organisatie incident-oefeningen? Zo ja, wie organiseert deze en hoe vaak? Zo niet, bespreek dat deze nodig zijn.
  • Als er organisatiebrede incident-oefeningen zijn, maken jouw vakgebied en bijv. cyberveiligheid daar deel van uit? Zo niet, kaart dit aan.
  • Worden de resultaten van oefeningen vastgelegd en geëvalueerd? Zijn er aantoonbare verbeteringen vanuit eerdere oefeningen? Wat is nodig in systemen, personeel, processen, procedures, contracten en beleid om tot verbetering te komen?