Regeling van de Minister van Infrastructuur en Waterstaat, van 25 mei 2021, nr. IENW/BSK-2021/135014, houdende nadere regels voor de veiligheid van aanbieders van essentiële diensten inzake de netwerk- en informatiesystemen in de sectoren vervoer en drinkwater (Regeling beveiliging netwerk- en informatiesystemen IenW)

Artikel 1 Begripsbepalingen In deze regeling wordt verstaan onder: AED: aanbieder van een essentiële dienst; besluit: Besluit beveiliging netwerk- en informatiesystemen ; ISMS: artikel 3, tweede tot en met vierde lid Information Security Management System als bedoeld in; risicoanalyse: bijlage bij artikel 3a, eerste lid, van het besluit risicoanalyse als bedoeld in onderdeel 1 van de. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 2 Reikwijdte 1 Deze regeling is van toepassing op iedere AED in de sectoren drinkwater en vervoer, voor zover het de netwerk- en informatiesystemen betreft die gebruikt worden voor de essentiële dienst. 2 bijlage bij artikel 3a van het besluit paragrafen 3 tot en met 9 Bij het nemen van de maatregelen, opgenomen in onderdelen 1 tot en met 5 van de, past de AED detoe. 2022 27687 25-10-2022 18-10-2022 IENW/BSK-2022/141192 2022 27687 25-10-2022 18-10-2022 IENW/BSK-2022/141192 01-01-2023

Artikel 3 ISMS 1 De AED hanteert een ISMS. 2 Het ISMS stelt de AED in staat om maatregelen te nemen, uit te voeren en waar nodig bij te stellen met als doel op een structurele wijze risico’s terug te brengen tot een acceptabel niveau. 3 paragrafen 4 tot en met 8 Het ISMS omvat omschrijvingen van het beleid, de processen en procedures, gericht op de maatregelen, bedoeld in de. 4 artikel 5 Het ISMS ondersteunt de AED bij het toepassen van de continue verbetercyclus, bedoeld in. 5 De AED beschikt over een document waarin is vastgelegd op welke wijze uitvoering is gegeven aan het eerste lid. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 4 Risicoanalyse 1 In de risicoanalyse is met behulp van een onderbouwing vastgelegd welk risiconiveau acceptabel wordt geacht voor de levering van de essentiële dienst. 2 Bij de risicoanalyse worden de redelijkerwijs voorzienbare risico’s binnen de keten van toeleveranciers betrokken voor zover deze kunnen leiden tot een incident bij de levering van de essentiële dienst. 3 De risicoanalyse wordt op basis van een door de AED vastgelegde procedure periodiek geactualiseerd en telkens wanneer blijkt dat de dreigingen of kwetsbaarheden significant zijn toe- of afgenomen. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 5 Verbetercyclus 1 De AED hanteert een continue verbetercyclus, waarmee: a. maatregelen worden toegepast ter beheersing van risico’s; b. de doeltreffendheid van deze maatregelen wordt beoordeeld; c. de maatregelen worden bijgesteld, wanneer de beoordeling daartoe aanleiding geeft. 2 De AED heeft inzicht in de mate waarin de maatregelen doeltreffend zijn en de risico’s beheerst zijn. 3 Het ISMS is zodanig ingericht dat de AED in staat gesteld wordt verantwoording af te leggen over de mate waarin de maatregelen doeltreffend zijn en de risico’s worden beheerst. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 6 Beschrijving taken, bevoegdheden en verantwoordelijkheden bijlage bij artikel 3a van het besluit De AED beschrijft bij wie of welke functionaris taken, bevoegdheden en verantwoordelijkheden als bedoeld in de, onderdeel 2, zijn belegd en actualiseert deze beschrijving als er wijzigingen zijn. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 7 Kwalificaties functionarissen 1 De AED waarborgt dat functionarissen over passende kwalificaties beschikken gelet op de bij hen belegde taken, bevoegdheden en verantwoordelijkheden. 2 De AED verzorgt voor de functionarissen die bij hem in dienst zijn periodieke bewustwordings- en trainingsactiviteiten en opleidingen, gericht op de voor netwerk- en informatiebeveiliging noodzakelijke kennis en kunde, het gewenste gedrag en daarop gerichte bewustzijn van betrokkenen. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 8 Gedrag van management en medewerkers 1 Het management van de AED draagt bewustzijn uit van de noodzaak tot informatiebeveiliging en bevordert op eigen initiatief binnen de organisatie het bewustzijn en de bewustwording hierover. 2 De AED legt beleid vast over screening, professionaliteit en integriteit van medewerkers, over geheimhouding door medewerkers en voor maatregelen in geval van schending van de geheimhouding of integriteit en past dat beleid toe. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 9 Netwerk- en informatiesystemen 1 bijlage bij artikel 3a van het besluit Het actueel overzicht, bedoeld in onderdeel 1 van de, bevat de actuele configuratie van de netwerk- en informatiesystemen en de relevante kenmerken ervan. Onderdeel van het overzicht is een beschrijving van de zonering en koppelingen van netwerken. 2 Het overzicht classificeert de systemen en onderdelen ervan aan de hand van de gevolgen voor de AED bij verstoringen en beschrijft het beveiligingsniveau. 3 De configuratie is vastgelegd in een configuratie management database. De beschrijving omvat de versies van hard- en software die in gebruik zijn bij onderdelen van netwerk- en informatiesystemen, die door de AED als kritiek zijn geclassificeerd. 4 De AED monitort de kwetsbaarheden voor de configuratie en legt deze vast. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 10 Asset- en lifecyclemanagement 1 Voor onderdelen van netwerk- en informatiesystemen die door de AED als kritiek worden geclassificeerd hanteert de AED asset- en lifecyclemanagement. 2 De AED stelt een proces vast voor het tijdig vernieuwen of afvoeren van systemen (end-of-support-management) en past dit toe. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 11 Patchmanagement Het patchmanagement omvat een risicoanalyse over de uit te voeren patch die ingaat op: a. het risico op verstoring van de dienst door de patch; b. de risico’s die door de patch of door andere maatregelen worden gemitigeerd. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 12 Leveringsmanagement 1 Netwerk- en informatiebeveiliging maken onderdeel uit van de inkoopvoorwaarden van de AED met betrekking tot inkoop van software, hardware en diensten. 2 De AED betrekt bij overeenkomsten met derden, waaronder leveranciers, relevante beveiligingseisen, -verantwoordelijkheden en -rollen en maakt afspraken over de eisen aan beveiligingsprestaties van de leverancier, het melden van incidenten en de beëindiging van de overeenkomst. De AED houdt de gemaakte afspraken actueel. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 13 Security by design 1 De AED borgt netwerk- en informatiebeveiliging bij ontwerp, planning en realisatie van netwerk- en informatiesystemen. 2 De AED gebruikt segmentering om te verhinderen dat een kwetsbaarheid of ongeautoriseerde toegang tot een netwerk- of informatiesysteem gebruikt kan worden om andere netwerk- of informatiesystemen te compromitteren. De keuze voor het toepassen van segmentering wordt gemaakt op basis van een risicoanalyse. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 14 Fysiek beveiligingsbeleid De AED heeft beleid vastgelegd over de fysieke beveiliging van netwerk- en informatiesysteemcomponenten en faciliteiten die de netwerken ondersteunen en past dit beleid toe. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 15 Logisch toegangsbeveiligingsbeleid 1 De AED heeft beleid vastgelegd voor logische toegangsbeveiliging voor de toegang tot netwerk- en informatiesystemen en past dit beleid toe. Dit beleid ziet in ieder geval op beheer van identiteiten, authenticaties en autorisaties, waaronder uitgeven, monitoren van gebruik en intrekken ervan. 2 Autorisaties worden ten minste jaarlijks beoordeeld op juistheid en actualiteit en geconstateerde onjuistheden worden hersteld. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 16 Software beveiliging 1 De AED past effectieve maatregelen toe tegen malware en monitort deze. 2 Indien gebruik gemaakt wordt van versleuteling, worden maatregelen toegepast om de betrouwbaarheid, integriteit en vertrouwelijkheid van de gebruikte sleutels te borgen. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 17 Gecontroleerd wijzigingenbeheer 1 De AED heeft beleid vastgelegd voor het beheerst doorvoeren van wijzigingen in en op een netwerk- en informatiesysteem en past dit beleid toe. 2 De AED heeft voorts de processen vastgelegd voor toepassen van een wijziging en past deze toe. Het proces omvat ook het testen van de wijziging. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 18 Melden van incidenten, tekortkomingen en kwetsbaarheden 1 De AED heeft beleid vastgelegd voor het melden van incidenten door werknemers en ziet toe op de toepassing ervan. 2 De AED heeft beleid vastgelegd en processen beschreven voor het melden en identificeren van tekortkomingen en kwetsbaarheden en past deze toe. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 19 Loggen van beveiligingsgerelateerde handelingen 1 De AED heeft een proces vastgelegd voor het loggen van handelingen op een netwerk- en informatiesysteem en past dit toe. Als onderdeel van het proces zijn de parameters beschreven, waaronder handelingen die leiden tot een nadere analyse en onderzoek. 2 Het eerste lid is niet van toepassing op componenten van netwerk- en informatiesystemen waarvoor op technische gronden loggen van handelingen niet mogelijk is. De AED heeft vastgelegd voor welke componenten dit geldt. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 20 Monitoring van netwerk- en informatiesystemen 1 De AED heeft het proces vastgelegd over de methode van monitoring van een netwerk- en informatiesysteem. 2 De AED heeft detectieprocessen en -procedures vastgelegd om afwijkende gebeurtenissen tijdig op te merken, te classificeren en, waar noodzakelijk, op te volgen. De AED past deze processen en procedures toe. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 21 Respons op incident 1 De AED heeft procedures vastgelegd voor het classificeren, onderzoeken en verhelpen van incidenten, het intern en extern communiceren en rapporteren over incidenten en past deze procedures toe. 2 De AED borgt dat een incident naar de ernst ervan wordt beoordeeld. Bij de beoordeling van de ernst wordt de impact op ketenpartners betrokken. 3 Incidenten worden geanalyseerd en geëvalueerd. De uitkomsten van deze analyse en evaluatie worden gebruikt bij de verbetering van de beheersing van de risico’s. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 22 Continuïteitsplannen Het crisis- of bedrijfscontinuïteitsplan wordt ten minste jaarlijks getest op doeltreffendheid en waar nodig aangepast. Testen kan plaatsvinden door middel van oefeningen. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 23 Herstel door backups 1 De AED heeft procedures vastgelegd voor het maken van backups (system, software en data), past deze procedures toe en indien nodig aan. 2 Het eerste lid is niet van toepassing op componenten van netwerk- en informatiesystemen waarvoor op technische gronden het maken van backups niet mogelijk of niet noodzakelijk is. De AED heeft vastgelegd voor welke componenten dit geldt. 3 De procedures, bedoeld in het eerste lid, worden ten minste jaarlijks getest. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 24 Rechtsvermoeden 1 paragrafen 3 tot en met 8 Een AED kan aantonen dat dezijn toegepast, door aan te tonen dat een met deze regeling tenminste gelijkwaardige sectorspecifieke norm wordt toegepast. 2 artikelen 3 4, derde lid 5, derde lid 6 7, eerste lid 8 9, eerste en tweede lid 10 12, eerste lid 13, eerste lid 15, tweede lid 23, tweede lid De Beveiligingsnorm Procesautomatisering, zoals vastgesteld op 28 maart 2019 door de drinkwaterbedrijven gezamenlijk en die geldt voor de sector drinkwater, wordt vermoed tenminste gelijkwaardig te zijn met deze regeling, behoudens de,,,,,,,,,,en. 3 EASA.rmt720, zodra deze is vastgesteld en geldt voor de sector vervoer, onderdeel luchtvaart, wordt vermoed tenminste gelijkwaardig te zijn met deze regeling. 4 Een wijziging in een sectorspecifieke norm wordt door of namens de AED medegedeeld aan de Minister en aan de Inspecteur-Generaal van de Inspectie Leefomgeving en Transport. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 25 Inwerkingtreding Deze regeling treedt in werking met ingang van 1 juli 2021. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021

Artikel 26 Citeertitel Deze regeling wordt aangehaald als: Regeling beveiliging netwerk- en informatiesystemen IenW. 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 2021 25471 26-05-2021 25-05-2021 IENW/BSK-2021/135014 01-07-2021