RIONED Jubileumlogo 2026 RGB Nieuw Nobg

Stappenplan voor de beleidsmaker

Publicatiedatum
04 februari 2026
Laatst geactualiseerd
09 februari 2026

Stappen voor beleidsmakers naar betere fysieke en cyberweerbaarheid

Bekende risico's

Het inventariseren van risico’s en kwetsbaarheden valt onder de taken van een beheerder. Als beleidsmaker wordt gekeken of dit voldoende ten uitvoer wordt gebracht, en waar nodig meer tijd of andere middelen gefaciliteerd.

Je zorgt er als beleidsmaker ook voor dat je op de hoogte bent van de belangrijkste knelpunten, procedures en de rol die je daarbinnen hebt wanneer er onverhoopt een incident plaats vindt. Kijk altijd naar de taken die een beheerder heeft tijdens een incident: is dit niet teveel en wordt de aandacht daardoor afgeleid van de belangrijkste taak voor een beheerder: het oplossen van het probleem.

Neem in de risico’s ook zeker mee dat een deel van het team (inclusief jezelf) niet beschikbaar is; wat voor gevolgen heeft dat en zorgt dat voor problemen of nieuwe risico’s? Dit geldt voor zowel dagelijkse werkzaamheden als het omgaan met incidenten.

Checklist risico’s

  • Laat het beheerteam de risico analyses die ze gemaakt hebben presenteren en bekijk ze kritisch vooral op het vlak van beschikbaarheid van middelen en ondersteunde afdelingen/partijen
  • Kijk wat jouw rol kan zijn (faciliterend, coordinerend) om het team te ontlasten tijdens een incident
  • Maak een lijst welke taken je hebt als beleidsmaker die direct tot problemen (kunnen) leiden wanneer je niet beschikbaar bent
  • Geef bij elk van die taken aan hoe er met de onbeschikbaarheid moet worden omgegaan:
    • Wordt de taak overgenomen en wanneer?
    • Wie neemt de taak over? (en wie van deze persoon)
    • Is deze persoon hiervan op de hoogte
    • Heeft deze de beschikking tot alle middelen die nodig zijn om die taak uit te voeren
  • Het beheerteam heeft ook een risico analyse gemaakt v.w.b. beschikbaarheid. Toets deze en zorg dat deze beschikbaar is wanneer benodigd

Beleid

Een goed beleid is gericht op verbetering. Zeker met veiligheid is een voortdurende toetsing van de huidige situatie aan risico’s en eisen nodig, en hoort dus onderdeel van beleid te zijn en een plek te hebben in het rioolbeheerplan. In het Water- en rioleringsplan ligt de basis voor bewustwording, de juiste randvoorwaarden, voldoende budget en personele capaciteit, en concrete ambities om de fysieke en cyberweerbaarheid te vergroten.

Checklist beleid

  • Neem veiligheid (zowel fysiek als digitaal) mee in je rioleringsbeheerplan zodat er tijd/middelen beschikbaar kunnen worden gesteld voor inventarisatie, analyse, maatregelen, oefenen en evalueren
  • Faciliteer en begeleid de beheerders in het uitwerken van risicoanalyses en een incidentbestrijdingsplan (IBP)
  • Zorg dat je op de hoogte blijft van ontwikkelingen rondom veiligheid en weerbaarheid binnen de organisatie
  • Breng de organisatie ook op de hoogte van relevante ontwikkelingen in het stedelijk afvalwater

Maatregelen

Voorkomen is natuurlijk beter dan genezen. Daarom is het goed wanneer er binnen een organisatie maatregelen en procedures zijn om veiligheidsincidenten te voorkomen dat deze kunnen plaatsvinden en als het toch gebeurd een beperkte impact hebben.

Als beleidsmaker ben je met de inhoud bekend en stuur je op het bestaan en naleving ervan, evenals het toezien op actueel houden en inspelen op ontwikkelingen/inzichten die er zijn.

Een beleidsmaker is hierin de verbindende factor tussen de algemene, voor de organisatie geldende, veiligheidsprotocollen en de specifieke invulling ervan voor het stedelijk afvalwaterbeheer. Op basis van beleid worden procedures en processen vormgegeven, en worden systeem- en beheerkeuzes, budgetten, capaciteit, contracten en ook bewustzijn voort.

Weerbaarheid en fysieke en cyberveiligheid van OT-systemen (operationele technologie) zijn gebieden die voortdurende aandacht vragen: het areaal, de technieken, de eisen en de risicofactoren veranderen continue.

Checklist maatregelen
  • Wie is/zijn aanspreekpunten als het gaat om veiligheidsrisico's binnen de organisatie? Wie is de CISO (Chief Information Security Officer)? Wat is diens visie op de OT-kwetsbaarheid en -weerbaarheid?
  • Inventariseer welk beleid en procedures er vanuit de organisatie bestaan die een raakvlak hebben met het stedelijk afvalwaterbeheer
  • Zijn er al maatregelen en procedures binnen de organisatie voor het stedelijk afvalwaterdomein? Toets deze op
    • Actualiteit
    • Uitvoerbaarheid
    • Compleetheid
    • Realisme

Afhankelijkheden

Je kunt beleidsmatig alles goed op orde hebben, maar elke (beheer)organisatie heeft afhankelijkheden van externen en dat brengt op zichzelf risico’s met zich mee, zowel tijdens normale werkzaamheden als tijdens incidenten. Dat laatste kan omdat ze ondersteuning kunnen/moeten bieden om het probleem op te lossen, of omdat ze juist oorzaak ervan zijn.

Kijk daarom goed naar de gebruikte middelen en risico analyses om deze afhankelijkheden te identificeren, en neem beschikbaarheid niet als vanzelfsprekendheid: een communicatiemiddel als de telefoon is een afhankelijkheid van de telecom provider en mogelijk ook van de aanwezigheid van netspanning. 

Checklist afhankelijkheden

  • Is in de risico analyses duidelijk aangegeven op welke punten er een afhankelijkheid van externe partijen bestaat
  • Wat heeft de externe partij gedaan om hun beschikbaarheid/(cyber)veiligheid te garanderen
  • Hoe is de externe partij bereikbaar
  • Wat zijn de afspraken met de externe partij rondom beschikbaarheid/inzet
  • Hoe reëel zijn deze afspraken (ook in het geval van een grote incident op bijvoorbeeld landelijke schaal)
  • Welke escalatiemogelijkheden zijn er
  • Is er bij essentiële afhankelijkheden een alternatief beschikbaar
  • Ben kritisch t.a.v. “vanzelfsprekende” beschikbaarheid
  • Afhankelijkheden kunnen bestaan op het gebied van onder andere:
    • Telecommunicatie (telefonie, verbindingen)
    • Kennis
    • Software
    • Hardware (falen/reparatie/vervanging)
    • (Cloud)diensten
    • Toegang/bereikbaarheid (van bijv. objecten, lokaties, bestanden, documentatie)
    • Stroomvoorziening
    • Informatievoorziening
  • Neem ervaringen/vereisten/risico’s mee in nieuwe kaders voor beleid, inkoop, beheer, personeel en communicatie

Oefen voldoende

Je wilt niet tijdens een echt incident voor het eerst geconfronteerd worden met tekortkomingen in de maatregelen of procedures die op het oog goed doordacht waren. Natuurlijk zijn niet alle scenario’s vooraf te bedenken of zelfs tegen te gaan, maar het testen van incidenten kan wel tot verbetering ervan leidden.

Oefeningen zijn daarom zeer gewenst; dit kan eenvoudig beginnen met bijvoorbeeld een gedachtenexperiment waarbij een situatie beschreven wordt en er aan de hand van een incidentbestrijdingsplan gekeken wordt wat de handelingen zijn die gedaan moeten worden. Het andere uiterste is een multi-disciplinaire oefening waarbij een realistische dreiging of situatie nagebootst wordt.

Checklist oefenen

  • Zijn er (veiligheids)incident-oefeningen binnen de organisatie? Zo ja, is hierop aan te haken vanuit het stedelijk afvalwater domein?
  • Begin met gedachten experimenten/discussies/simulaties van een incident
  • Organiseer regelmatig “echte” testen waarbij bijvoorbeeld objecten, functionarissen of voorzieningen uitvallen
  • Een goede oefening/test wordt geobserveerd, gedocumenteerd en geanalyseerd
  • “Never waste a good crisis”: zorg bij een daadwerkelijk, ongepland incident dat er ook verslaglegging en evaluatie met conclusies plaatsvindt. Neem de conclusies ter harte en zorg dat geconstateerde problemen opgelost worden.