Heb je nog vragen over de CSIR? Kijk snel of het antwoord in onze Q&A staat.

Waarom een CSIR als er al allerlei normen zijn?

verhouding CSIR met andere richtlijnen

De CSIR is een implementatie richtlijn voor de BIO en IEC62443 normen. Ze voegt niets toe aan deze normen, maar helpt waterschappen om deze normen te implementeren. De CSIR geeft praktische handvatten voor medewerkers die werken aan het beveiligen van gemalen, sluizen, stuwen en zuiveringen, etc. Zowel operationeel beheerders als inkopers worden geholpen met de CSIR. Naast de ondersteuning die de CSIR biedt bij het bepalen en implementeren van de juiste veiligheidsmaatregelen, draagt de CSIR ook bij aan de borging van informatieveiligheid bij aanbestedingen.

Hoe verhoudt de CSIR ten opzichte van de BIO en IEC62433?

Binnen de waterschapen worden de BIO en IEC62433 normen gehanteerd en beide normen zijn onderdeel van de audit-cyclus. Waar de BIO met name de focus legt op het beveiligen van kantoorautomatisering, legt de IEC62443 deze specifiek op procesautomatisering (PA). Beide normen overlappen elkaar echter op onderdelen.

De CSIR is geënt op zowel de BIO als de IEC62433. Ze helpt om de voorgeschreven maatregelen uit de BIO, aangevuld met maatregelen volgend uit de IEC62443, zo eenvoudig en effectief mogelijk en zonder overlap van maatregelen te implementeren. De CSIR helpt de waterschapen om de normen praktisch en effectief toe te passen en daarmee de informatieveiligheid te borgen voor haar PA-assets.

Hoe werkt de CSIR?

Per object (gemaal, sluis, zuivering, stuw, etc.) wordt met behulp van de CSIR het gewenste weerstandsniveau op basis van een risicoprofiel voor dat object bepaalt. De CSIR presenteert vervolgens ‘automatisch’ de maatregelen uit de BIO en IEC62443 die getroffen dienen te worden om het betreffende object voldoende digitaal weerbaar te maken (basisniveau beveiliging). Het is vervolgens aan het waterschap zelf om te bepalen of zij eventuele extra risico’s willen afdekken om een object nog sterker te beveiligen (bijvoorbeeld voor kroonjuwelen/iconen). In dat geval geeft de CSIR aan welke aanvullende veiligheidsmaatregelen te nemen zijn om risico’s nog verder te reduceren. Zie ook de uitlegvideo

Samenvattend draagt de  CSIR zorg voor een praktisch en uniform inzicht in het gewenste beveiligingsniveaus van objecten van een waterschap en hoe deze zich verhouden tot haar ketenpartners.

Wat zijn de ervaringen met de CSIR  binnen de waterschappen tot nu toe?

Een aantal waterschappen hebben als pilot gebruik gemaakt van de CSIR en gaven zeer positieve feedback. Met behulp van de CSIR konden zij snel en effectief bepalen of de bestaande beveiliging van een object voldoende was voor het gewenste weerstandsniveau. Ook kreeg men een duidelijk inzicht van de maatregelen die eventueel nog getroffen moesten worden of in enkele gevallen zelfs overbodig waren. Toepassing van de CSIR heeft de benodigde inspanningen niet per definitie verminderd of veranderd, maar wel veel concreter en duidelijker gemaakt voor alle betrokkenen.

Is de CSIR een verzwaring van het veiligheidsniveau?

De CSIR geeft een praktische invulling aan de BIO en IEC62443 normen en zorgt ervoor dat passende maatregelen inzichtelijk worden die nodig zijn om een bepaald weerstandsniveau te behalen. Met andere woorden, het is geen verzwaring in de zin dat de CSIR additionele beveiligingsmaatregelen boven op de BIO en IEC62433 zet. De CSIR is juist een richtlijn die zorg draagt voor het identificeren van de noodzakelijk te treffen maatregelen komende vanuit de BIO en IEC62443.

Zijn er ook anderen die de CSIR gebruiken?

De CSIR is in samenwerking met Rijkswaterstaat ontwikkeld voor de gehele watermanagement-sector. Binnen Rijkswaterstaat is de CSIR de verplicht toe te passen richtlijn voor de beveiliging van al haar objecten. Ook diverse provincies en gemeentes zijn inmiddels begonnen met het toepassen van de CSIR. De CSIR geeft niet alleen specifiek voor waterschappen een praktisch inzicht in het gewenste beveiligingsniveau voor objecten, maar is in beginsel toepasbaar voor alle watermanagement-organisaties (ketenpartners).

Is de markt bekend met de CSIR?
De CSIR is ontwikkeld in afstemming met brancheverenigingen van leveranciers van proces-automatiseringssystemen. De CSIR kent dan ook het voordeel dat de markt ook daadwerkelijk kan leveren wat waterschappen en andere organisaties nodig hebben.

Waarom is het nodig om de CSIR door het OGT vast laten stellen als zelf verplichtende richtlijn?

Deze richtlijn komt voort uit de afspraken zoals vastgelegd in het addendum CyberSecurity van het Bestuursakkoord Water (BAW). Het voordeel van een door alle ketenpartners gezamenlijk gehanteerde richtlijn is dat kennis en kunde onderling eenvoudig gedeeld en afgestemd kunnen worden. Daarbij zorgt de richtlijn ervoor dat ketenpartners op identieke en vergelijkbare weerstandsniveaus opereren, behorend bij een gegeven risiconiveau. Omdat een keten uiteindelijk zo sterk is als haar zwakste schakel, is het essentieel om op uniforme wijze de sterkte van elke afzonderlijke schakel te kunnen duiden. Met andere worden, als een waterschap aangeeft dat object X middels de CSIR beveiligd is op niveau Y, dan weten alle partners en eventuele marktpartijen precies hoe digitaal weerbaar een object is en welke maatregelen getroffen zijn. Deze uniformiteit vereenvoudigd daarmee sterk de onderlinge samenwerking en kennisuitwisseling.

Buiten de genoemde onderlinge uniformering met bijbehorende voordelen in samenwerking met ketenpartners, heeft adoptie van een uniforme richtlijn binnen de sector zelf ook een aantal voordelen:

Uitstraling:

  • Als waterschapsector laat je zien dat je niet alleen de richtlijn hebt helpen ontwikkelen, maar ook hebt geadopteerd (practise what you preach).
  • Als waterschappen ben je van elkaar afhankelijk (zowel fysiek als qua imago). Het schept onderling vertrouwen als je weet dat je buur-waterschap dezelfde richtlijn gebruikt voor het beveiligen van haar objecten.

Ketenafhankelijkheid:

  • Waterschappen vormen samen een sectorale waterketen. De CSIR zorgt ervoor dat risico’s en maatregelen binnen de fysieke en digitale waterketen optimaal op elkaar afgestemd zijn.
  • Door onderlinge vergelijkbaarheid en toetsing bij o.a. audits. Alle schakels in de ketting zijn aantoonbaar even sterk.

Kennisdeling:

  • CSIR zorgt voor cohesie en uniformiteit waardoor kennisdeling binnen de sector vereenvoudigd wordt en expertise binnen de sector ontwikkeld en behouden blijft.

Marktpositie:

  • Het verstevigt de positie van waterschappen naar de markt (alle waterschappen passen dezelfde maatregelen toe).

Hoe verhoudt de BIACS zich tot de CSIR?

De BIACS is ontwikkeld door het ministerie van I&W en is een uitgeklede en sterk vereenvoudigde versie van de CSIR met een lager basis beveiligingsniveau. Het wordt ook wel de ‘CSIR light’ genoemd. Het ministerie van I&W heeft de BIACS ontwikkeld voor organisaties die een start willen maken met het borgen van hun digitale weerbaarheid, maar slechts een paar objecten met procesautomatisering bezitten (kleine gemeentes, beheerorganisaties). De BIACS bevat een relatief laag basis beveiligingsniveau met bijbehorende set van maatregelen, en kent in tegenstelling tot de CSIR geen differentiatie in weerstandsniveaus. De BIACS is expliciet niet bedoeld voor vitale organisaties en voorziet in een onvoldoende mate van digitale weerstand om geschikt te zijn voor waterschappen. De BIACS wijkt door haar vereenvoudigde opzet sterk af van de CSIR en is als gevolg daarvan niet bruikbaar als opstap naar de CSIR[1].

Hoe verhoudt volwassenheidsniveau 4 zich tot de CSIR?

Het volwassenheidsniveau zegt niets over de mate van beveiliging van objecten, maar geeft de mate van volwassenheid van een organisatie aan met betrekking tot het ‘onderhoud’ (borging) van haar beveiliging aan. Het volwassenheidsniveau beschrijft hoe een organisatie als geheel werkt aan het behalen en behouden van een weerstandsniveau en de CSIR helpt met het bepalen wat een organisatie moet doen om dat weerstandsniveau te realiseren voor haar procesautomatisering.

Bij volwassenheidsniveau 4 worden informatieveiligheid en privacy risicogestuurd gemanaged en geïntegreerd in een geborgde, organisatie brede Plan-Do-Check-Act (PDCA)-cyclus. Volwassenheidsniveau[2] 4 (op een schaal van 5) hebben de waterschappen als ambitieniveau afgesproken. De CSIR helpt om aan dit volwassenheidsniveau te voldoen, doordat de CSIR ondersteunend is in het uitvoeren van het risicomanagement voor wat betreft procesautomatisering.

Waar kun je alle informatie vinden over de CSIR?

De CSIR Bron-informatie en documentatie is beschikbaar via de website van het

CERT-Watermanagement. Mochten er toch nog vragen over blijven, dan ontvangen wij deze graag via csir@hetwaterschapshuis.nl.


[1] De differentiatie tussen BIACs en CSIR ontstaat met name doordat de BIACS gebaseerd zijn op een vooraf vastgesteld minimaal weerstandsniveau voor alle objecten en de CSIR een variabel weerstandniveau hanteert gebaseerd op de functie en het risicoprofiel van een specifiek object.

[2] De volwassenheidsniveaus zijn gebaseerd op CMM.