Door IBD op 24 februari 2022

Delen

Cybersecurity Implementatierichtlijn Objecten – CSIR, beveiliging van Proces Automatisering van gemeenten

Gemeenten gebruiken Proces Automatisering (PA) voor een veelheid aan taken. PA kom je bij gemeenten tegen bij onder andere:

  • Besturing en bediening van afvalwaterinstallaties
  • Besturing en bediening van bruggen en sluizen
  • Besturing van gemalen
  • Verkeersregelsystemen
  • Gebouwbeheersingsystemen (verwarming, koeling, ventilatie, filtering, noodstroomvoorzieningen etc.)
  • Als sensoren (camera systemen, verkeerstellers en detectielussen), denk ook aan IoT
  • Toegangsbeveiliging (slagbomen, elektronische hekwerken, camera systemen)
  • Parkeergarages
  • Zwembaden

Gemeenten gebruiken al de BIO als beveiligingsnorm voor ICT. Voor het beveiligingen van PA – procesautomatiserings-systemen bestaan aanvullende beveiligingseisen die niet in de BIO staan. Enige tijd geleden heeft RWS hiervoor de CSIR 2.4 (CyberSecurity ImplementatieRichtlijn) uitgegeven. Deze richtlijn bestaat uit de BIO en daar waar nodig aangevuld met de IEC 62443.

De Waterschappen, Rijkswaterstaat en domeinexperts hebben onder aansturing van het Waterschapshuis samengewerkt om deze CSIR 2.4 van RWS te vertalen naar een veralgemeniseerde versie voor de Waterschappen en overige BAW (Bestuursakkoord Water) partners. Deze versie is tevens breed inzetbaar voor overheidsorganisaties die gebruik maken van industriële automatisering, en daarmee dus ook door Nederlandse gemeenten.

De CSIR 3.4 is de veralgemeniseerde versie die ontdaan is van RWS-begrippen, producten en diensten en daarmee speciaal ontwikkeld om handvatten te geven die nodig zijn voor het borgen van de digitale weerbaarheid van PA. Het gaat hierbij nadrukkelijk niet om de kantoorautomatisering waarvoor de BIO geldt als kader voor beveiliging, maar om de processen van de gemeente waarbinnen PA aan de orde is. De CSIR is toepasbaar op technische PA-installaties behorende bij kunstwerken en objecten die worden gebruikt om te meten, bedienen, besturen en bewaken.

Met de CSIR 3.4 heeft de gemeente alle middelen in handen om PA-risico gestuurd te beveiligen. Hiermee verbetert de continuïteit van PA en wordt de kans op cyberincidenten van PA geminimaliseerd. Van objectclassificering tot concrete maatregelen op gebied van mens, organisatie en techniek geeft de CSIR 3.4 maatregelen die passen bij de classificatie van de PA.

Door de generieke opzet is de CSIR breed inzetbaar voor alle overheidsorganisaties en heeft de BIO overheid de CSIR 3.4 onlangs ook toegevoegd aan de ICO wizard voor de proces- en systeemtechnische eisen die de CSIR onderdelen aanroepen vanuit het contract. Hiermee hebben inkopers en assetmanagers een extra praktisch hulpmiddel in handen gekregen om cybersecurity te borgen in de lifecycle van PA-assetmanagement.

De CSIR en de bijbehorende bijlagen, zoals de proces- en systeemtechnische eisen, evenals de template voor het cybersecurity beveiligingsplan, het format voor de CMDB en de tool voor objectclassificatie, zijn te verkrijgen via het Waterschapshuis csir@hetwaterschapshuis.nl

 

 

 

Gerelateerd

security.txt verplicht voor gemeenten 

Nieuws

security.txt verplicht voor gemeenten 
Gemeenten via de IBD aangesloten op het Nederlands Security Meldpunt

Nieuws

Gemeenten via de IBD aangesloten op het Nederlands Security Meldpunt
Blog: Vijf jaar AVG: ligt de fundering al?

Blog

Blog: Vijf jaar AVG: ligt de fundering al?