Het Amsterdamse waterbedrijf Waternet staat niet meer onder verscherpt toezicht van de Inspectie Leefomgeving en Transport (ILT) vanwege het niet op orde hebben van de cybersecurity. Volgens de ILT heeft Waternet de afgelopen maanden de benodigde maatregelen doorgevoerd voor het verbeteren van de cybersecurity.

Vorig jaar april werd stichting Waternet vanwege onvoldoende grip op de cybersecurity en besturing bij Waternet, waardoor er een verhoogd risico voor de leveringszekerheid en kwaliteit van het drinkwater was, onder verscherpt toezicht geplaatst van de Inspectie Leefomgeving en Transport. Naar aanleiding van een verzwegen penetratietest startte de Inspectie een onderzoek naar Waternet.

Het waterbedrijf is verantwoordelijk voor het drinkwater in Amsterdam en omgeving. In het gebied van Waterschap Amstel Gooi en Vecht houdt het zich bezig met de dijken en de afvoer en schoonmaak van rioolwater. Follow The Money meldde op basis van vertrouwelijke documenten en verklaringen van interne bronnen dat de digitale omgeving van Waternet niet goed was beveiligd.

De directeur van Waternet stuurde in reactie daarop een brief naar het bestuur dat het om "gedateerde" bevindingen ging en er niet zoveel aan de hand was. Een penetratiest die Waternet in januari van 2020 had laten uitvoeren, en serieuze problemen blootlegde, werd niet in de brief genoemd. De ITL had, als toezichthouder op het waterbedrijf, eind oktober 2020 een gesprek met Waternet.

Dit gesprek werd gevoerd vanwege de eerdere publicatie van Follow The Money over de beveiliging bij Waternet. Tijdens dit gesprek werd de Inspectie niet geïnformeerd over het pentestrapport of uitkomsten van andere penetratietesten. Nadat Follow The Money met het nieuws zou komen over de voor het bestuur verzwegen penetratietest informeerde Waternet de Inspectie over deze test.

Hierop startte de Inspectie zelf een onderzoek waaruit bleek dat Waternet zowel op bestuurlijk als organisatorisch niveau onvoldoende grip heeft op de eigen cybersecurity. Vorig jaar werd besloten het waterbedrijf onder toezicht te plaatsen. Minister Harbers van Infrastructuur en Waterstaat liet afgelopen juni aan de Tweede Kamer weten dat Waternet een verbeterplan had opgestart. Ondanks de geboekte voortgang stelde de Inspectie toen dat er nog het nodige moest gebeuren.

"De eerder door de inspectie geconstateerde tekortkomingen zijn opgelost. De organisatie is in control als het gaat om het beheersen van cybersecurity risico’s. Daarnaast is cybersecurity nu onderdeel van de besturing van de organisatie", zo laat de Inspectie Leefomgeving en Transport vandaag weten. In 2024 wil Amsterdam de drinkwatertaak onder brengen in een naamloze vennootschap om de sturing en het toezicht te versterken. Op basis van de verbeteringen ziet de ILT geen verhoogd risico meer voor de leveringszekerheid van drinkwater.