Het logo van WILMAONLINE
Menu
  1. WILMA Online
  2. Thema-architecturen
  3. Informatieveiligheid

Informatieveiligheid


Inleiding[bewerken]

Voor de waterschappen is sinds 1 januari 2020 de Baseline Informatiebeveiliging Overheid (BIO) van kracht.

De BIO vervangt binnen de Nederlandse overheid diverse baselines. Voor waterschappen wordt de BIWA vervangen door de BIO. En zo ontstaat één baseline welke geldt als normenkader voor alle Nederlandse overheidsorganisaties. Hiermee ontstaat een integraal en consistent normenkader dat gebaseerd is op de internationaal erkende ISO 27001-norm.

De BIO verschilt op een aantal punten van de BIWA. De grootste verschillen zijn:

  1. Minder maatregelen (bijna 60% minder)
  2. Maatregelen zijn altijd verplicht
  3. Meer risicomanagement
  4. Drie basisbeveiligingniveaus (BBN)
  5. Selectie van ontbrekende maatregelen vooraf
  6. Toewijzing van maatregelen op eindverantwoordelijke
  7. Een baselinetoets die rekening houdt met die drie niveaus
  8. Verantwoordelijkheden komen bij het lijnmanagement te liggen

Definities[bewerken]

Informatieveiligheid is het resultaat van het proces van het vaststellen van de vereiste betrouwbaarheid van informatie in termen van beschikbaarheid, integriteit en vertrouwelijkheid, alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.
Informatiebeveiliging' is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Beschrijving[bewerken]

De beveiliging van informatie richt zich daarbij op de volgende drie aspecten:

  • beschikbaarheid, de informatie moet op de gewenste momenten beschikbaar zijn;
  • integriteit, de informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en volledige informatie opslaan en verwerken;
  • vertrouwelijkheid, de informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd is.


Grondslagen[bewerken]

Deze laag bevat alle wet- en regelgeving die van toepassing kan zijn op onze vraagstukken en projecten. Voor het thema Informatieveiligheid is dit ook verder uitgewerkt in beleidskaders en principes die daaruit zijn af te leiden. Daarnaast geven we een overzicht van de samenhang van de motivatie (waarom en waarvoor) voor informatieveiligheid.

Beleidskaders Informatieveiligheid[bewerken]

De beleidskaders voor het thema Informatieveiligheid zijn gebaseerd op bestaand overheidsbeleid (nationaal en Europees) en op de instrumenten die in het kader van dat beleid zijn ontwikkeld, zoals wetten, regels, kamerstukken en bestuursakkoorden. Hieronder zijn de relevante beleidskaders voor dit thema gevisualiseerd.

Grouping IV&P De CSIR staat voor CyberSecurity ImplementatieRichtlijn en is speciaal ontwikkeld om objecten (waterzuiveringsinstallaties, gemalen, bruggen, keringen, sluizen, etc.) te beveiligen. De CSIR versie 3.0 verschilt van eerdere versies omdat deze veralgemeniseerd is en daarmee primair bruikbaar is gemaakt voor alle BAW (Bestuursakkoord Water) partners. Tevens is deze versie breed inzetbaar voor andere (overheids)organisaties die gebruik maken van procesautomatisering (ook wel industriële automatisering genoemd). (Driver) Cybersecurity Implementatierichtlijn (CSIR) The EU Cyber Solidarity Act aims to strengthen capacities in the EU to detect, prepare for and respond to significant and large-scale cybersecurity threats and attacks. The proposal includes a European Cybersecurity Shield, made of Security Operation Centres interconnected across the EU, and a comprehensive Cybersecurity Emergency Mechanism to improve the EU’s cyber posture . (Driver) Cybersolidarity Act De e-privacyverordening (ePV) is een voorgestelde Europese verordening die de e-privacyrichtlijn moet vervangen, omdat zij beter zou zijn afgestemd op de nieuwe technologische realiteit. De aanpassingen omvatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten. (Driver) ePrivacy Verordening Het doel van de Wet weerbaarheid kritieke entiteiten (Wwke) is om de weerbaarheid te verbeteren van organisaties die in Nederland essentiële diensten leveren. (Driver) Wet Weerbaarheid Kritieke Entiteiten (WWKE) The Cyber Resilience Act (CRA) is a cyber-security regulation for the EU proposed on 15 September 2022 by the European Commission for improving cybersecurity and cyber resilience in the EU through common cybersecurity standards for products with digital elements in the EU. (Driver) Cyber Resilience Act (CRA) De Baseline Informatiebeveiliging Overheid (BIO) beschrijft het basisniveau voor informatiebeveiliging. De BIO wordt gehanteerd binnen de Nederlandse overheid, door het Rijk, Gemeenten, Waterschappen en Provincies. Dit is één basisniveau voor informatiebeveiliging, één gezamenlijke taal voor alle overheidsorganisaties. (Driver) Baseline Informatiebeveiliging 2 (BIO2.0) De Algemene verordening gegevensbescherming (AVG)[1] (Engels: General Data Protection Regulation, GDPR)[2] is een Europese verordening (dus met rechtstreekse werking) die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Volgens overweging 18 en artikel 2.2, aanhef en onder c, is de verordening niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. (Driver) Algemene Verordening Gegevensbescherming & Uitvoeringswet AVG (AVG & UAVG) De Wet gegevensverwerking door samenwerkingsverbanden (WGS), in werking getreden op 1 maart 2025, biedt een wettelijke basis voor publieke en private partijen om persoonsgegevens te delen bij het bestrijden van ondermijnende criminaliteit en fraude. (Driver) Wet gegevensverwerking door samenwerkingsverbanden (WGS) De Wet politiegegevens (Wpg) is een Nederlandse wet die de rechten en de plichten van de politie zelf, maar ook die van de burger regelt, voor wat betreft het verwerken van politiegegevens. Politiegegevens zijn persoonsgegevens die in het kader van de politietaak worden verwerkt. Naast de politie moeten ook andere organisaties zich aan de Wpg houden: de bijzondere opsporingsdiensten (BOD) en de buitengewoon opsporingsambtenaren (boa's). (Driver) Wet Politiegegevens (WPG) Deze wet geeft waar nodig uitvoering aan de cyberbeveiligingsverordening en regelt de aanwijzing van de nationale cyberbeveiligingscertificeringsautoriteit, de verstrekking van Europese cyberbeveiligingscertificaten met zekerheidsniveau hoog en een kader voor de handhaving en toezicht op de verordening, cyberbeveiligingscertificeringsregelingen, de uitvoeringswet en de lagere regelgeving. (Driver) Uitvoeringswet Cyberbeveiligingsverordening (EU:Cybersecurity Act) De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2 wordt momenteel naar Nederlandse wetgeving vertaald. (Driver) Cyberbeveiligingswet (CBW) - (EU: NIS2) De Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018 regelt een meldplicht van incidenten en een zorgplicht om beveiligingsmaatregelen te treffen (Driver) Wet beveiliging netwerk- en informatiesystemen (WBNI) Deze svg is op 13-04-2026 16:50:27 CEST gegenereerd door ArchiMedes™ © 2016-2026 ArchiXL. ArchiMedes 13-04-2026 16:50:27 CEST




   
   
   

   
   
   
   
   
   

   
   
Principes Informatieveiligheid[bewerken]

De beleidskaders zijn bepalend voor de richtinggevende principes die de waterschappen hanteren om beveiligingsdoelstellingen te realiseren. Hieronder zijn de principes die van toepassing zijn voor dit thema gevisualiseerd.

Grouping Basisprincipes Stelling: Ons waterschap gaat op een vertrouwelijke manier met gegevens om Rationale: Klanten verwachten dat het waterschap op een zorgvuldige manier met hun gegevens om gaat en dat deze niet in handen komen van onbevoegden. De visiebrief digitale overheid besteedt daarom specifiek aandacht aan informatieveiligheid. Ontwikkelingen als consumerization en tijd- en plaatsonafhankelijk werken vragen ook om extra aandacht voor de beveiliging van informatie. Grenzen van organisaties vervagen en traditionele beveiligingsmaatregelen passen niet meer. Cybercriminaliteit kan zorgen voor ernstige ontregeling van organisaties. Het is daarom belangrijk de risico’s expliciet te maken. Hierdoor kunnen de meest passende maatregelen worden genomen en worden overmatige maatregelen vermeden. Implicaties: * Ons waterschap is aangesloten bij de Informatiebeveiligingsdienst voor waterschappen (IBD). * Ons waterschap heeft een informatiebeveiligingsbeleid, gebaseerd op de strategische en tactische Baseline Informatiebeveiliging Nederlandse Waterschappen (BIG). * Voor alle gegevens en applicatiefuncties (autorisatie-objecten) zijn verantwoordelijken aangewezen. * Voor alle autorisatie-objecten is aangegeven welke rollen of gebruikers geautoriseerd toegang kunnen krijgen. * Alle toegang tot autorisatie-objecten wordt expliciet geauthentiseerd en geautoriseerd, tenzij deze openbaar toegankelijk zijn. * Gegevens zijn voorzien van een BIV classificatie die aangeeft wat het gewenste niveau van Beschikbaarheid, Integriteit en Vertrouwelijkheid is. * Informatiebeveiligingsmaatregelen zijn gebaseerd op het informatiebeveiligingsbeleid, de BIV classificatie van de betrokken gegevens en een risicoanalyse vanuit procesperspectief. * Alle toegang tot gevoelige gegevens wordt gelogd en regelmatig beoordeeld. * Uitwisseling van gevoelige gegevens vindt niet in bulk plaats, maar is toegespitst op de vraag zodat het beperkt is tot wat noodzakelijk is. * Informatiebeveiliging wordt integraal meegenomen bij het ontwerp en de inrichting van applicaties en infrastructuur. * Informatiebeveiliging wordt ook geborgd in afspraken (en controle op naleving ervan) met samenwerkingspartners en leveranciers van diensten of IT-systemen. * Alle betrokkenen zijn zich bewust van informatiebeveiligingsmaatregelen en deze worden onder meer geborgd door periodieke interne en externe audits. (Principle) BP04: Ons waterschap gaat op een vertrouwelijke manier met gegevens om Grouping Afgeleide principes Stelling: De dienstverlener waarborgt de integriteit van gegevens en systeemfuncties. Rationale: De gebruiker van een gegeven moet erop kunnen vertrouwen dat hij het correcte, complete en actuele gegeven ontvangt. Implicaties: *De integriteit van gegevens en systeemfuncties wordt gegarandeerd door validatie en beheersing van gegevensverwerking en geautoriseerde toegang tot gegevens en systeemfuncties, door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling en door beperking van functionaliteit. *Controle van gegevensverwerking: **De criteria voor juistheid, en tijdigheid zijn vastgesteld **controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt. **controleren te versturen gegevens op juistheid, volledigheid en tijdigheid **controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking **vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens. (Principle) AP18. De dienstverlener waarborgt de integriteit van gegevens en systeemfuncties. Stelling: De beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuïteitsafspraken. Rationale: De continuïteitsafspraken zijn gemaakt op basis van de afbreukrisico's die afnemers lopen bij uitval. De processen van afnemers kunnen spaak lopen met financiële en maatschappelijke schade en het vertrouwen in betrouwbaarheid van de dienst kan afnemen. Implicaties: *De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door vermeervoudiging van systeemfuncties, door herstelbaarheid en beheersing van verwerkingen, door voorspelling van discontinuïteit en handhaving van functionaliteit. *Specifiek: **Het niveau van beschikbaarheid is in overleg met de afnemers vastgesteld **ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid **De continuïteit van voorzieningen wordt bewaakt, bij bedreiging van de continuïteit wordt alarm geslagen en er is voorzien in een calamiteitenplan. **De toegankelijkheid van openbare informatie en informatie die die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is. **De afnemer merkt niets van wijzigingen in het beheer van de dienst. **Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is. *De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. (Principle) AP16. De beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuiteitsafspraken Stelling: De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. Rationale: De gebruiker moet erop kunnen vertrouwen dat gegevens niet worden misbruikt. Implicaties: *De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. *Fysieke en logische toegang: **Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld **Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening. **Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af. **De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit. **Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen. **Verleende toegangsrechten zijn inzichtelijk en beheersbaar. **De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis. *Zonering en Filtering: **De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld. **De fysieke en technische infrastructuur is opgedeeld in zones. **Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters'). **Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd. (Principle) AP17. De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. Stelling: We voldoen aan de normen voor informatiebeveiliging en bedrijfscontinuïteit. Rationale: *De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen leidt tot voelbare risico’s voor de continuïteit van de waterschapsdienstverlening. *Betrouwbare, beschikbare en correcte informatie is cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. Implicaties: *De bescherming van informatie in werkprocessen voldoet minimaal aan de geldende baseline op het gebied van informatiebeveiliging en bedrijfscontinuïteit, zoals vastgelegd in de BIO (Baseline Informatiebeveiliging Overheid). *Maatregelen rond informatiebeveiliging en bedrijfscontinuïteit zijn proportioneel en gebaseerd op de risicoanalyse en -classificatie van beschikbaarheid, integriteit en vertrouwelijkheid. *Toegang tot de informatievoorziening is altijd en overal beveiligd conform de geldende norm. *Door risicoanalyse en - classificatie van de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap wordt het vereiste beschermingsniveau aangeduid in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Dit beschermingsniveau kan de BIO ontstijgen wanneer extra beschermingsmaatregelen nodig zijn. *Er is een door het bestuur vastgesteld informatiebeveiligingsbeleid dat is gebaseerd op en voldoet aan de BIO - Baseline Informatiebeveiliging Overheid. *Er is een actueel informatiebeveiligingsplan en bedrijfscontinuïteitsplan. *Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd en belegd. *Het lijnmanagement is verantwoordelijk voor de kwaliteit van de bedrijfsvoering en daarmee verantwoordelijk voor de beveiliging van informatiesystemen. *De systeemeigenaar is verantwoordelijk voor beveiligingsclassificatie op proces-, systeem- en gegevensniveau en voor uitvoering van beschermingsmaatregelen om het vereiste niveau van informatiebeveiliging te realiseren, alsmede voor de documentatie van beveiligings-classificatie en –maatregelen. *Zowel bij het ontwerp en realisatie van een systeem-implementatie als bij gebruik van het informatiesysteem vinden tests plaats op de effectiviteit van de beveiligingsmaatregelen. *Werknemers, ingehuurd personeel en externe gebruikers begrijpen hun verantwoordelijkheden t.a.v. informatiebeveiliging en handelen daarnaar. *De Security Officer wordt door de systeemeigenaar geïnformeerd over de beveiligingsclassificatie, over de genomen beschermingsmaatregelen en over de effectiviteit van de informatiebeveiliging. *Beschermingsvereisten zijn van toepassing op alle ruimten van een waterschap, aanverwante gebouwen en beheerde objecten als kunstwerken, alsmede op apparatuur die door werknemers gebruikt wordt bij de uitoefening van hun taak op diverse locaties. *Beveiligingsvereisten voor informatiesystemen hebben betrekking op de informatie die daarbinnen verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden zijn deze beschermingsvereisten van toepassing. *Secure by design and by default, privacy by design and by default. Voorbeelden: *Wachtwoorden voor toegang tot applicaties en systemen zijn persoonlijk en worden niet aan anderen bekend gemaakt. *Er wordt regelmatig een back-up gemaakt en het terugzetten hiervan (recovery) wordt getest. (Principle) AP12. Informatieveiligheid en bedrijfscontinuïteit passend geborgd SpecializationRelationship geeft concrete invulling aan SpecializationRelationship geeft concrete invulling aan SpecializationRelationship geeft concrete invulling aan SpecializationRelationship geeft concrete invulling aan Deze svg is op 13-04-2026 16:50:28 CEST gegenereerd door ArchiMedes™ © 2016-2026 ArchiXL. ArchiMedes 13-04-2026 16:50:28 CEST

NIS2 Inrichting[bewerken]

Om aan de eisen van NIS2 te voldoen, zijn de 3 relevante applicatiefuncties voor de besturing van de assets gemapt op de ISA95 standaard voor de inrichting en scheiding van IT (Information Technology) en OT (Operational Technolgy). De 3 functies zijn:

  • Historianfunctie
  • Modellering en simulatie
  • Supervisory control and data acquisition (SCADA)

De infrastructuuruitwerking conform de ISA95-standaard is in onderstaand diagram uitgewerkt.

overzicht lagen NIS2 ISA95 in relatie tot Assetmanagement

Het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen).

Naar de pagina met de definitie van ‘BIO’

Een samenhangende set van regels, normen, standaarden en richtlijnen waaraan een organisatie, proces of professional zich moet houden.

Naar de pagina met de definitie van ‘normenkader’

Het niveau waarop een doelstelling gerealiseerd moet worden.

Naar de pagina met de definitie van ‘norm’

Een verzameling activiteiten die in samenhang plaatsvinden, gericht op een beoogd resultaat en met een zekere mate van herhaalbaarheid.

Naar de pagina met de definitie van ‘proces’

Het hanteren van een samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een gewenst niveau van beschikbaarheid, integriteit en vertrouwelijkheid van (stuur-)informatie en informatiesystemen die gebruikt worden binnen een organisatie.

Naar de pagina met de definitie van ‘Informatiebeveiliging’

De informatievoorziening is het geheel van mensen, middelen en maatregelen, gericht op het invullen van de informatiebehoefte met gegevens en functionaliteit, zoals die volgt uit de bedrijfsprocessen van de organisatie.

Naar de pagina met de definitie van ‘informatievoorziening’

Geheel van regels en inzichten over de uitvoering van (wettelijke taken) van het waterschap.

Naar de pagina met de definitie van ‘beleid’

Een standaard is een afspraak tussen organisaties of afdelingen om in specifieke situaties gebruik te maken van een bepaald voorgedefinieerd formaat of protocol.

Naar de pagina met de definitie van ‘standaard’

Operationele historisatie is de opslag van tijd-seriegegevens die voortkomen uit procesautomatisering. Historian software is vaak geïntegreerd in of in samenhang gebruikt met Distirbuted Control Systems (DCS) en Programmable Logic Controlers (PLC) om verbeterde data-inwinning, validatie, compressie en aggregatie te bieden. Historians worden in vrijwel elke sector ingezet en dragen bij aan functies als; prestatiemonitoring, kwaliteitsmanagement en machine learning.

Naar de pagina met de definitie van ‘Historianfunctie’