Bijdrage Nico Drost aan een plenair debat met minister van Nieuwenhuizen Wijbenga van Infrastructuur en Waterstaat

Kamerstuknr. 30821

De heer Drost (ChristenUnie):
Dank u wel, voorzitter. Je moet er toch niet aan denken dat bijvoorbeeld de Maeslantkering vanwege een vliegende storm met springtij moet sluiten, maar dat deze vanwege een cyberaanval openblijft. De maatschappelijke ontwrichting en de economische schade zouden immens kunnen zijn. Met dit in gedachten heb ik mijn bijdrage van vanmiddag voorbereid.

Gelukkig is in Nederland alles erop gericht om een volgende watersnoodramp te voorkomen. Nadat de overheid in de twintigste eeuw steeds reageerde op een ramp, na de Zuiderzeeramp in 1916, de watersnoodramp in 1953 en de bijna-ramp in het rivierengebied in 1993 en 1995, ging ongeveer tien jaar geleden het roer om, en werd met de start van het Deltaprogramma expliciet het doel om met de investeringen in waterveiligheid een volgende ramp voor te blijven. Het is een mooie benadering die uniek is in de wereld. Het is een verstandige benadering. En het is natuurlijk een logische benadering, met een kwart van ons land dat onder de zeespiegel ligt en bijna 60% dat overstroombaar is. Om die bescherming handen en voeten te geven, hebben we een uitgekiend stelsel van dammen, duinen, dijken en waterkeringen. Die waterkeringen hebben beweegbare onderdelen, die met behulp van gedigitaliseerde processen worden bediend. Daar komt de cybersecurity om de hoek kijken. Cyberaanvallen zijn een relatief nieuwe bedreiging waar we ons tegen moeten wapenen, juist bij deze vitale fysieke infrastructuur, die essentieel is voor het veilig voortbestaan van ons land. Voordat ik daar verder op inga, zeg ik de Algemene Rekenkamer dank voor zijn onderzoek naar de wijze waarop vitale waterwerken beschermd zijn tegen cyberaanvallen. De Rekenkamer bedoelt daarmee bewuste pogingen om schade te veroorzaken. Om je daartegen te beschermen, is er cybersecurity. Dat is het geheel aan maatregelen om schade door verstoring, uitval of misbruik van ICT te voorkomen, en als die toch is ontstaan, te herstellen. Doordat processen sterk zijn gedigitaliseerd, is vitale infrastructuur, waaronder waterwerken, kwetsbaarder dan ooit voor cyberaanvallen. Dit onderzoek en de aanbevelingen zijn daarmee zeer relevant.

Voorzitter. De conclusies en aanbevelingen zijn helder en goed, van cascade-effecten tot betere screening van personeel. De minister zegt toe alle aanbevelingen over te nemen. Ze zegt daarbij dat veel van de aanbevelingen afhankelijk zijn van opvolging van de eerste aanbeveling inzake het duiden van het dreigingsniveau. In de reactie daarop wijst de Rekenkamer er fijntjes op dat een aantal van zijn aanbevelingen gaat om het spoedig afronden van maatregelen die al eerder getroffen hadden moeten zijn. Ze doelen daarmee bijvoorbeeld op het aansluiten van die vitale waterwerken op het SOC, het Security Operations Center, zodat meer diepgaand en actueel zicht is op deze waterwerken. Dit had al eind 2017 gerealiseerd moeten zijn en is dus niet afhankelijk van de eerste aanbeveling. Kortom, de Rekenkamer vindt dat de minister zich net te veel verschuilt achter het voldoen aan de eerste aanbeveling. Mijn vraag is dan: hoe reageert de minister hierop? Wat is de actuele stand in het wegwerken van dit soort achterstallige actiepunten? En wat kan de minister zeggen over de allocatie van eventueel extra benodigde middelen hiervoor, bijvoorbeeld voor de doorontwikkeling van het SOC?

Voorzitter. Voor het goede begrip: tijdens bijvoorbeeld het werkbezoek vorige week maandag aan Rijkswaterstaat ben ik onder de indruk geraakt van hoe actief zij werken aan het beveiligen van vitale infrastructuur en digitale processen tegen cyberaanvallen. Ook is duidelijk dat er tot op heden geen echte ongelukken met cyberaanvallen zijn geweest. De vraag blijft of wat we doen, genoeg is in deze tijd van toenemende cyberdreiging. Hoe kijkt de minister hiertegen aan? Is de samenwerking tussen Rijkswaterstaat en waterschappen enerzijds en veiligheidsdiensten en dergelijke anderzijds wel intensief en effectief genoeg? Deze vraag bedoel ik niet alleen vanuit RWS-zijde van het spectrum, maar juist ook vanuit de veiligheidsdiensten zelf. Hoe proactief wordt RWS gewaarschuwd door bijvoorbeeld AIVD of MIVD met betrekking tot eventuele cyberaanvallen vanuit een of andere trollenfabriek of buitenlandse mogendheid?

Voorzitter. Tot slot kom ik terug bij het voorbeeld waarmee ik begon, de Maeslantkering. Ik heb specifiek een vraag over de faalkans. Daar is altijd veel over te doen en dat is logisch, aangezien de faalkans het daadwerkelijke beschermingsniveau beïnvloedt. Het bekendste voorbeeld van een discussie over de faalkans is die van de Maeslantkering. In het ontwerp van deze wonderschone kering is uitgegaan van een faalkans van 1 op 1.000. In de praktijk ligt deze echter veel hoger. Een aantal jaar geleden werd er zelfs gesproken over 1 op 100. Mijn vraag in dit debat is: in hoeverre werkt het risico op cyberaanvallen al of niet door in de faalkans van waterwerken in het algemeen en van de Maeslantkering in het bijzonder?

Dank u wel, voorzitter. Wij zien uit naar de beantwoording van onze vragen.

Meer informatie