OT-cybersecurity bij gemeenten en waterschappen

Gemeenten: meer dan alleen IT-beveiliging

Gemeenten krijgen allemaal met de Cyberbeveiligingswet (CbW) te maken. Gemeenten kunnen invulling geven aan de eisen uit de CbW door de BIO2 te implementeren. Deze norm wordt straks, als opvolger van de BIO 1.04, verplicht voor gemeenten en andere overheidsinstellingen. 

De BIO2 is gebaseerd op de ISO 27001:2022. Waar in de oude versie van de BIO voornamelijk aandacht was voor maatregelen gekoppeld aan basisbeveiligingsniveaus (BBN’s), is in de BIO2 meer van ISO 27001 opgenomen:

• Er moet een volledig informatiebeveiliging-managementsysteem worden ingericht. 
• Er moet aantoonbaar een Plan-Do-Check-Act cyclus gevolgd worden 
• Risicoanalyses zijn een verplicht onderdeel geworden 
• Alle beheersmaatregelen zijn herzien en aangevuld 
• Er moet een middelenoverzicht worden bijgehouden van fysieke middelen (ook niet IT) 

En er wordt expliciet verwezen naar Operationele Techniek (OT). Gemeenten beheren vaak machines en systemen die onder kritische infrastructuur vallen, maar hebben deze vaak niet meegenomen in hun cybersecurity-maatregelen. Denk aan systemen zoals: 

• Stoplichten
• Gemalen en waterkeringen
• Automatische paaltjes en slagbomen
• Ondergrondse containers
• Cameranetwerken
• Bruggen en sluizen
• Voertuigen met locatietracking
• Verkeerstellers en weegbruggen
• Gebouwbeheersystemen

Om onze maatschappij te beschermen tegen digitale dreigingen is een helder overzicht van relevante middelen (asset inventory) en een degelijke risicoanalyse noodzakelijk en verplicht vanuit de BIO2. Op basis hiervan kunnen ook passende maatregelen genomen worden. 

Waterschappen: dubbele druk vanuit NIS2 en CER

Waterschappen vallen al onder de NIS2 en zullen worden aangewezen als ‘kritieke entiteit’ onder de Wet weerbaarheid kritieke entiteiten (Wwke). Zij beheren immers systemen die essentieel zijn voor droge voeten, de levering van drinkwater, en de behandeling van afvalwater met systemen als: 

• Rioolpompen
• Bruggen en sluizen
• Gemalen

De OT-systemen waarmee deze processen worden uitgevoerd zijn vaak wel in kaart gebracht. Maar zijn ook alle (cybersecurity) risico’s en benodigde beheersmaatregelen bekend? En zijn deze specifiek afgestemd op de OT-omgeving? 

Uitdagingen voor gemeenten en waterschappen

Voor beide groepen geldt:

• Een compleet overzicht van bedrijfsmiddelen (assets) is essentieel om te voldoen aan de eisen van de Cbw en Wwke.
• Een risicoanalyse is verplicht onder de Cbw en Wwke. 
• Beheersmaatregelen moeten in OT vaak anders worden geïmplementeerd dan in IT.
• Er is specifieke OT-expertise nodig.

De praktijk leert dat IT-security best practices niet automatisch werken in OT-context. Denk aan machines die niet zomaar gepatcht kunnen worden, of OT-netwerken die geen standard firewalls ondersteunen. Dit vraagt om een andere aanpak. 

Hoe Kader je kan helpen

Wij ondersteunen publieke organisaties bij het naleven van de NIS2, CER en bijbehorende nationale wetgeving. Dat doen we onder andere via:

• Nulmetingen en gapanalyses: waar sta je nu en wat moet er gebeuren?
• Risicoanalyses: gericht op OT-cybersecurity en afgestemd op jouw processen.
• Maatregelen implementeren: specifiek en uitvoerbaar binnen de praktijk.
• Structureren en borgen: zodat je organisatie duurzaam weerbaar is.

Daarnaast begeleiden we organisaties bij het structureel identificeren en beheersen van risico’s – zodat compliance geen momentopname is, maar een stevig fundament.