BIO BBN2 checklist voor waterschappen

De Baseline Informatiebeveiliging Overheid (BIO) vervangt de eerdere BIG, BIR en BIWA-normen en geldt voor alle overheidsorganisaties in Nederland, inclusief de 21 waterschappen. Waterschappen werken doorgaans op BBN2-niveau — het beveiligingsniveau dat vereist is voor vertrouwelijke informatie die niet staatsgeheim is.

Dit omvat: • SCADA/ICS-systemen voor waterbeheer (gemalen, sluizen, waterzuivering) • Financiële gegevens (waterschapsbelasting) • Persoonsgegevens van ingezetenen • Operationele data van het watersysteem

BBN2 vereist het implementeren van alle BBN1-maatregelen plus aanvullende maatregelen voor vertrouwelijkheid. In totaal bevat het BIO-framework ongeveer 130 maatregelen op BBN2-niveau, verdeeld over 14 hoofdstukken die aansluiten bij ISO 27002.

De grootste uitdaging voor waterschappen is de combinatie van traditionele ICT-infrastructuur met operationele technologie (OT) voor waterbeheer. Deze twee werelden hebben verschillende beveiligingseisen, verschillende levenscycli en verschillende risicoprofielen.

Informatiebeveiligingsbeleid (Hoofdstuk 5) ☐ Vastgesteld informatiebeveiligingsbeleid, goedgekeurd door het dagelijks bestuur ☐ Jaarlijkse review en actualisatie van het beleid ☐ Beleid gecommuniceerd aan alle medewerkers

Organisatie van informatiebeveiliging (Hoofdstuk 6) ☐ CISO aangesteld met directe rapportagelijn naar bestuur ☐ Taken en verantwoordelijkheden voor informatiebeveiliging vastgelegd ☐ Scheiding van taken geïmplementeerd voor kritieke processen ☐ Contact met toezichthouders en CSIRT onderhouden

Personele beveiliging (Hoofdstuk 7) ☐ Screening van medewerkers vóór indiensttreding (VOG) ☐ Arbeidsvoorwaarden met beveiligingsverplichtingen ☐ Security awareness programma voor alle medewerkers ☐ Procedure bij uitdiensttreding (intrekken toegangsrechten)

Assetmanagement (Hoofdstuk 8) ☐ Volledige inventarisatie van informatieassets inclusief OT ☐ Eigenaarschap toegewezen per asset ☐ Classificatieschema toegepast ☐ Procedures voor verwijdering en hergebruik van media

Toegangsbeveiliging (Hoofdstuk 9) ☐ Beleid voor toegangsbeveiliging gedocumenteerd ☐ Gebruikersregistratie en -deregistratie procedure ☐ Minst-privilege-principe toegepast ☐ MFA geïmplementeerd voor alle remote en admin toegang ☐ Reguliere toegangsrechten reviews (minimaal per kwartaal) ☐ IT- en OT-netwerktoegang gescheiden

Cryptografie (Hoofdstuk 10) ☐ Beleid voor gebruik van cryptografie ☐ Data at rest versleuteld ☐ Data in transit versleuteld (minimaal TLS 1.2) ☐ Sleutelbeheer procedure gedocumenteerd ☐ PKIoverheid certificaten waar vereist

Fysieke beveiliging (Hoofdstuk 11) ☐ Fysieke toegangsbeveiliging voor serverruimtes ☐ Beveiligde zones voor SCADA-systemen ☐ Logging van fysieke toegang tot gemaalgebouwen en waterkeringen ☐ Bescherming tegen omgevingsrisico’s (water, brand, stroom)

Operationele beveiliging (Hoofdstuk 12) ☐ Gedocumenteerde bedieningsprocedures ☐ Wijzigingsbeheer geïmplementeerd ☐ Capaciteitsbeheer ☐ Scheiding van ontwikkel-, test- en productieomgevingen ☐ Bescherming tegen malware ☐ Back-up procedures getest en gedocumenteerd ☐ Logging van gebruikers- en beheerdersactiviteiten ☐ Kwetsbaarheidsbeheer (patchen binnen 72 uur voor kritiek)

Communicatiebeveiliging (Hoofdstuk 13) ☐ Netwerksegmentatie tussen IT en OT ☐ Segmentatie tussen kantoornetwerk, beheernetwerk en DMZ ☐ Firewallregels gedocumenteerd en periodiek gereviewed ☐ Monitoring van netwerkverkeer op afwijkingen ☐ Beveiligde gegevensoverdracht met ketenpartners ☐ Intrusion detection/prevention op netwerkgrenzen

Systeemacquisitie en -onderhoud (Hoofdstuk 14) ☐ Beveiligingseisen opgenomen in systeemspecificaties ☐ Testdata beschermd ☐ Beveiligingstesten onderdeel van acceptatieprocedure

Leveranciersrelaties (Hoofdstuk 15) ☐ Beveiligingseisen in leverancierscontracten ☐ Regelmatige beoordeling van leveranciersbeveiliging ☐ Procedure voor beheer van ICT-toeleveringsketen ☐ Remote toegang van leveranciers gemonitord

Incidentenbeheer (Hoofdstuk 16) ☐ Incident response plan met escalatiepaden ☐ Meldprocedure voor beveiligingsincidenten ☐ Rollen en verantwoordelijkheden bij incidenten vastgelegd ☐ Procedure voor bewijsvergaring ☐ Lessen uit incidenten geëvalueerd en doorgevoerd

Bedrijfscontinuïteit (Hoofdstuk 17) ☐ Bedrijfscontinuïteitsplan voor kritieke waterbeheersystemen ☐ RTO en RPO vastgesteld per systeem ☐ Redundantie voor kritieke SCADA-componenten ☐ Jaarlijkse test van failover en herstel ☐ Noodprocedures voor handmatige bediening bij ICT-uitval

Op basis van audits bij Nederlandse waterschappen zijn dit de meest voorkomende tekortkomingen op BBN2-niveau:

1. Onvolledige asset-inventarisatie — Veel waterschappen missen zicht op hun volledige OT-landschap. Legacy SCADA-systemen zijn vaak niet gedocumenteerd of worden buiten IT om beheerd. Gebruik geautomatiseerde network discovery om alle apparaten continu in kaart te brengen.

2. Onvoldoende netwerksegmentatie — IT- en OT-netwerken zijn niet altijd voldoende gescheiden. Een breach in het kantoornetwerk mag niet kunnen leiden tot toegang tot waterbeheerprocessen.

3. Patchmanagement voor OT — OT-systemen draaien vaak verouderde software vanwege leveranciersbeperkingen of beschikbaarheidseisen. Documenteer een risicogebaseerde aanpak inclusief compenserende maatregelen voor systemen die niet direct gepatcht kunnen worden.

4. Ongeteste incidentrespons — Incident response plannen bestaan maar worden niet regelmatig getest. Voer minimaal tweemaal per jaar een tabletop-exercitie uit.

5. Leveranciersbeheer — Toegang van derden tot OT-systemen wordt niet altijd gelogd of gereviewed. Monitor remote sessies van leveranciers in real-time.

6. Logging en monitoring — Gecentraliseerde logging is onvolledig. Kritieke systemen genereren logs, maar deze worden niet gecorreleerd of actief gemonitord.

B-Brave Gatekeeper ondersteunt waterschappen bij het voldoen aan BIO BBN2 op meerdere vlakken:

Asset-inventarisatie: De CMDB en network discovery engine inventariseert automatisch alle apparaten, inclusief OT-systemen die via het netwerk bereikbaar zijn. Nieuwe apparaten worden binnen minuten gedetecteerd en geclassificeerd.

Kwetsbaarheidsbeheer: CVE-tracking, end-of-life monitoring en automatische enrichment identificeren en prioriteren kwetsbaarheden in je hele ICT-landschap. Patchstatus wordt automatisch bijgehouden.

Netwerksegmentatie-verificatie: De topology map en traffic monitoring laten zien of segmentatie daadwerkelijk effectief is. Ongeautoriseerd verkeer tussen zones wordt direct gedetecteerd.

SIEM en monitoring: De ingebouwde SIEM met correlatieregels detecteert afwijkingen en genereert alerts die direct in je incident response workflow passen.

Compliance tracking: De compliance module koppelt je maatregelen aan BIO BBN2-eisen en toont precies waar je staat en welke gaps er nog zijn.

Rapportage: Automatische rapporten met bewijsverzameling ondersteunen de documentatie-eisen. Genereer auditrapporten op aanvraag in plaats van wekenlang Excel-bestanden samen te stellen.

Als waterschap kun je Gatekeeper on-premise of hybrid deployen, zodat gevoelige OT-data het eigen netwerk niet verlaat.