Bruggen, rioleringssystemen en andere vitale systemen die bij decentrale overheden in beheer zijn, zijn niet op grote schaal kwetsbaar. Dat schrijft demissionair minister Visser van Infrastructuur en Waterstaat in een brief aan de Tweede Kamer naar aanleiding van een artikel in het FD.

Volgens Visser hebben zich de afgelopen twee jaar geen succesvolle aanvallen op vitale systemen van Rijkswaterstaat of ProRail voorgedaan. De beveiliging van deze systemen is een verantwoordelijkheid van de decentrale overheden die de infrastructuur beheren. De minister schrijft dat zij geen signalen heeft ontvangen van de sector of koepelorganisaties VNG, UvW of IPO dat industriële controle systemen (ICS) van de door decentrale overheden beheerde installaties op grote schaal kwetsbaar zijn. Ook weet zij niets over het ontbreken van updates die noodzakelijk zijn voor het in stand houden van de beveiligingsmaatregelen.

Maatschappelijke ontwrichting
Als hackers toegang krijgen tot de systemen van bruggen en andere vitale objecten, zouden zij voor een behoorlijke maatschappelijke ontwrichting kunnen zorgen. Ook kunnen levensgevaarlijke situaties ontstaan als een brug wordt geopend, zonder dat eerst het verkeer wordt stilgelegd. Een aanval op een rioleringssysteem zou een milieuramp tot gevolg kunnen hebben. Visser schrijft aan de Kamer niet met dergelijke incidenten bekend te zijn. De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht volgens haar vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum (NCSC).

Streng cybersecurityregime
Volgens Visser hebben zich de afgelopen twee jaar ook geen succesvolle aanvallen voorgedaan op de bedienings-, besturings- en bewakingssystemen van Rijkswaterstaat en ProRail. ProRail beheert de besturing van bruggen, tunnels en beveiliging op het spoor (deels) van op afstand vanuit centrale verkeersleidingscentra. Dit gebeurt volgens de minister volgens een streng cybersecurityregime, dat regelmatig door externe onderzoeksbureaus wordt getoetst op betrouwbaarheid en werking. Speciale aandacht gaat uit naar risico’s die kunnen ontstaan als systemen via internet met elkaar worden verbonden. Het beleid is er volgens Visser op gericht om organisaties bewust te maken van de kwetsbaarheden, kennis te delen en te waarborgen dat maatregelen worden genomen om nationale risico’s zoveel mogelijk te verkleinen.