Een waarschuwingsbord bij de stuw van Doesburg tijdens hoogwater in 2021. Foto: Liesbeth Spaansen

Een waarschuwingsbord bij de stuw van Doesburg tijdens hoogwater in 2021. Foto: Liesbeth Spaansen

Een ‘perfecte storm’ aan hoogwater en gebreken in cyberveiligheid kan mogelijk leiden tot ernstig wateroverlast in de Achterhoek

Maatschappij

ACHTERHOEK - Waterwerken zoals sluizen en gemalen houden Nederland én de Achterhoek droog. Ze doen hun werk goed, maar hun digitale besturingssystemen worden soms nog onvoldoende beveiligd. En verbeteringen komen laat van de grond. Nu in het hoogwaterseizoen kan het risico op misbruik potentieel grote gevolgen hebben, zeggen experts.

Door Peer van Tetterode, Iris Kuipers en Guus Helle en Lara de Kluizenaar 

Eind 2023 stond het water menig Achterhoeker bijna aan de schenen. Hoogwater in de rivieren en sterke regenbuien leidden tot overuren bij waterschap Rijn en IJssel. Het gemaal aan de Grote Beek draaide op volle kracht en toch stond het water tot aan de rand van de beek. Bij de stuw in Ulft kwam er zoveel water de Oude IJssel binnen dat in Doesburg de stuw volledig open moest staan om te voorkomen dat Doetinchem onder water kwam te staan. En een extra pomp was nodig bij de rioolwaterzuivering in Dinxperlo om het gezuiverde water de sloot in te pompen. 


Hoogwater in de IJssel met zicht op Olburgen. Foto: Liesbeth Spaansen 

Toch was dit niet voldoende. Kelders liepen onder water en boeren zagen hun land verdrinken. Een situatie die niet is niet ontstaan door een cyberaanval, maar wel laat zien hoe dichtbij een grote overstroming kan zijn. Wat nu als hackers tijdens extreem weer de besturing van waterwerken verstoren? Experts sluiten dat scenario niet volledig uit. De Militaire Inlichtingen- en Veiligheidsdienst meldde dit jaar een eerste Russische cybersabotagepoging tegen een Nederlands besturingssysteem. Daarbij waarschuwde de dienst, net als antiterreurorganisatie NCTV, dat vitale infrastructuur nadrukkelijk in beeld is voor toekomstige aanvallen.

Tot die vitale infrastructuur behoren ook de sluizen, stuwen en gemalen die de Achterhoek drooghouden. Cyberaanvallen zijn geen zeldzaamheid meer. Gemeente Lochem is in 2019 gehackt en regelmatig komen nieuwsberichten voorbij waarin staat dat grote, gerenommeerde instanties te maken hebben met cyberaanvallen. Ook komt extreem weer steeds vaker voor en dat is vooral in Oost-Nederland een zorg. Eind 2025 publiceerde het waterschap dat Doetinchem en Lochem groot risico op overstroming lopen bij heftige regenval, zoals in Limburg in 2021 is gebeurd. Daarnaast wijst onderzoek van de Inspectie Leefomgeving en Transport uit dat de dijken in het oosten van het land minder sterk zijn dan aan de kust. 


Het veiligheidsoordeel per traject van de Nederlandse dijken, beoordeelt tussen 2017-2022. Te zien is dat grote delen van de rivierdijken in de Achterhoek ‘ruim niet aan de signaleringswaarde en aan de ondergrens’ voldoen. Bron: Waterveiligheidsportaal 

Ontregeling
Door klimaatverandering komen extreme regenbuien vaker voor en zijn hoge waterstanden niet langer een zeldzaamheid van eens per eeuw, maar een terugkerend verschijnsel. Waterschappen en Rijkswaterstaat werken hard aan het versterken en aanpassen van het watersysteem. Tegelijkertijd wordt steeds duidelijker dat bescherming tegen water alleen niet volstaat en dat ook de digitale weerbaarheid op orde moet zijn.

De digitalisering van gemalen, sluizen en waterkeringen is daarom belangrijk. Deze systemen, de zogenaamde Operational Technology (OT), de besturingssystemen achter zulke installaties, zijn gekoppeld aan netwerken. Dat maakt het beheer efficiënter en duurzamer, maar het maakt het ook kwetsbaarder.


Overstromingsgevoeligheid van de Achterhoek. Lichtblauw is binnendijks gebied; oranje is buitendijks gebied; geel is door de hoge ligging niet overstromingsgevoelig. Bron: Ministerie van Infrastructuur en Waterstaat 

Staatsveiligheid
De waterschappen en Rijkswaterstaat hebben in samenwerking met het Nationaal Cyber Security Centrum (NCSC) 11 scenario’s opgesteld waarin waterschappen kwetsbaar zijn voor cyberaanvallen. De inhoud van deze scenario’s is alleen niet openbaar. Een Woo-verzoek om inzage in de ketenanalyses van TNO en deze scenario’s bij het ministerie van Infrastructuur en Waterstaat werd afgewezen, omdat openbaarmaking ‘schade kan toebrengen aan de Nederlandse staat’. Een woordvoerder van Rijkswaterstaat meldt in een reactie hierop dat het genoemde onderzoek mogelijk staatsgevaarlijke informatie bevat en daardoor als strikt vertrouwelijk is geclassificeerd. Dat hier niets over gedeeld kan worden, is volgens haar onderdeel van de maatregelen die de watersector neemt om ‘zich te wapenen tegen cyberdreigingen’. Hierdoor is het voor buitenstaanders die de documenten niet in kunnen zien onmogelijk om precies te weten welke onderdelen van waterwerken het kwetsbaarst zijn. Al zeggen experts wel unaniem dat er kwetsbaarheden zijn.

Andere betrokken overheidsorganisaties zijn evengoed zeer voorzichtig met het delen van informatie. De lokale waterschappen verwijzen naar hun overkoepelende vereniging, de Unie van Waterschappen, die elk informatieverzoek met betrekking tot de scenario’s afwijst. Ondertussen is een website met informatie over risicoanalyses offline gehaald. Benaderde organisaties in de watersector weigerden desgevraagd ook een vragenlijst door te sturen naar medewerkers met vragen over de staat van de cyberveiligheid. 

Wat de Unie van Waterschappen in elk geval wel laat weten, is dat ze met vier stappen werkt om hun cyberveiligheid te verbeteren: van basismaatregelen tot volledig professionele beveiliging. Alle waterschappen zeggen momenteel op niveau 3 te zitten, wat betekent dat de verplichte maatregelen op orde zijn. Het hogere niveau 4, waarbij de beveiliging vooral wordt aangescherpt op basis van de belangrijkste risico’s die daarnaast nog worden gevonden, had eigenlijk in 2021 bereikt moeten zijn. Maar dat bleek te ambitieus. Elk waterschap werkt nu in eigen tempo verder aan dat niveau. De Unie van Waterschappen benadrukt dat digitale en fysieke veiligheid samenhangen: bij hoogwater staat ook de ICT meer onder druk, waardoor kwetsbaarheden sneller kunnen opspelen.

Tientallen jaren oud 
Volgens Max van der Horst, onderzoeker digitale weerbaarheid aan de TU Delft, ligt het probleem bij de leeftijd van de machines. “Veel installaties zijn tientallen jaren oud, ontworpen voor gesloten omgevingen en daardoor niet altijd bestand tegen moderne digitale dreigingen.” Een hacker die toegang krijgt tot het IT-systeem van een waterschap zou in sommige gevallen de besturing kunnen beïnvloeden.

De machines functioneren goed, zijn gebouwd voor decennia gebruik en hebben digitale beveiliging. Alles vervangen omdat er toch kwetsbaarheden zouden kunnen zijn, is daarom geen optie, stelt Van der Horst. “Je wilt er liever niet aankomen als dat niet nodig is.” Sluizen en gemalen worden over tientallen jaren afgeschreven, waardoor volledige vernieuwing van interne computers vaak niet in het budget past. Naast geld speelt terughoudendheid mee. “Er is angst dat aanpassingen storingen veroorzaken en de continuïteit in gevaar brengen.” 

Digitaal prikken
Volgens Vincent Lokin, bestuurder bij de Unie van Waterschappen, is het niet uit te sluiten dat hackers grote schade kunnen aanrichten aan waterinfrastructuur: “We weten dat we op lijsten staan van partijen die ons willen raken. Als overheid moet je daar goed op voorbereid zijn.”

Hij waarschuwt dat hackers van vijandelijke staten, zoals Rusland, steeds actiever worden: “Ze testen systemen door digitaal te prikken en kijken hoe we reageren.” Volgens de waterschappen staan zulke kwetsbare systemen wel achter een ‘beschermende digitale muur’, maar kunnen er nog steeds kwetsbaarheden zijn. De sterke afhankelijkheid van digitale systemen vergroot het risico: “Als stuwen of pompen uitvallen, stijgt het waterpeil. Dat is niet direct een nationale ramp, maar bij echte overstromingen, waarbij water uit rivieren, kanalen en meren het land op komt, worden wegen al snel minder toegankelijk. Dat kan bijvoorbeeld ambulances hinderen. Ook zuiveringsinstallaties zijn kwetsbaar: als die uitvallen, merk je dat binnen enkele uren.”

Rijkswaterstaat is het eens met Lokins visie en bevestigt dat het uitvallen van dergelijke systemen kunnen leiden tot maatschappelijke ontwrichting en forse economische schade. Naast technische schade kan een hack ook maatschappelijke onrust veroorzaken. “Destabiliseren gebeurt tegenwoordig niet met een bom, maar door systemen te ontregelen. Wij zijn daarin een doelwit,” aldus Lokin. Waterschappen werken daarom aan strengere beveiliging en noodscenario’s, maar hij erkent: “Het blijft een kat-en-muisspel.”

Vooral bij extreem hoogwater kunnen de gevolgen groot zijn. Bas Kolen, wetenschappelijk directeur van wateradviesbureau HKV richt zich als bijzonder hoogleraar aan de Universiteit van Amsterdam op het modelleren van klimaatrisico’s en de gevolgen daarvan voor de verzekeringssector. Hij waarschuwt: “Als het water al hoog staat, kan een grootschalige hack net die druppel extra geven.” In een zogenoemde perfecte storm, waarin meerdere factoren samenkomen, kan dat leiden tot een dijkdoorbraak en overstromingen van steden, dorpen en vitale infrastructuur. “Hoewel we dit nog nauwelijks hebben meegemaakt, laten zulke omstandigheden zich altijd slecht plannen.”

Volgens Kolen zijn desastreuze gevolgen alleen mogelijk bij een samenloop van omstandigheden. “Een grote overstroming kan zorgen voor enorme schade, dodelijke slachtoffers, stroomuitval, geen drinkwater en onbegaanbare wegen.” De impact is niet alleen economisch, benadrukt hij: “Mensen lopen levenslange trauma’s op. In Zeeland praat men nog steeds over de watersnoodramp van 1953.”

Het grootste risico ziet Kolen echter bij hoogwater in het oosten van het land. “De kust is relatief goed beschermd door duinen en grote waterkeringen. Alle dijken in Nederland, zo ook langs de rivierdijken, zoals langs de IJssel en Rijn, moeten pas in 2050 aan nieuwe veiligheidsnormen voldoen die overstromingsgevaar ook in de toekomst moeten voorkomen.” Rijkswaterstaat bevestigt dit streefjaar, terwijl waterschap Rijn en IJssel benadrukt dat de dijkversterkingen die nodig zijn voor de eisen die gelden voor 2050 op schema liggen.

Binnenlopen
Het inbreken in overheidssystemen, waaronder die van waterschappen en Rijkswaterstaat, blijkt vaak eenvoudiger dan gedacht. Volgens ethisch hacker Wouter van Dongen, die IT-systemen van overheden test, laat de cyberveiligheid te wensen over. “Onderdelen van de ICT, zoals wifinetwerken, e-mailservers en communicatielijnen, moeten zowel los als in samenhang worden getest, zodat een hacker niet via het ene systeem het andere kan binnendringen. Maar dat gebeurt lang niet altijd. Als dit niet goed gebeurt, kan een hacker via één zwakke schakel binnenkomen.”

Ook fysieke hacks, waarbij een hacker ergens binnenloopt en bijvoorbeeld een usb-stick in een systeem prikt, zijn volgens hem nog te makkelijk. Dat wordt breder ondersteund: de Algemene Rekenkamer stelde in 2019 nog vast dat tunnels, bruggen, sluizen en waterkeringen onvoldoende beschermd zijn tegen cyberaanvallen. Veel automatiseringssystemen stammen uit de jaren tachtig en negentig en werden later aan netwerken gekoppeld zonder passende beveiliging. Tijdens een audit voor dat onderzoek wist een ethisch hackteam, met fysieke toegang tot een controlekamer, het netwerk van een kritisch waterwerk binnen te dringen. Daarmee is aangetoond dat deze waterkering in theorie kwetsbaar is voor cyberaanvallen. De Unie van Waterschappen stelt wel dat de resultaten en aanbevelingen van dit zes jaar oude onderzoek inmiddels alweer verouderd zijn en dat ernaar gekeken is.

Ten slotte neemt de kwetsbaarheid toe doordat de overheid sterk afhankelijk is van externe leveranciers. Rijkswaterstaat gebruikt bijvoorbeeld VMware-virtualisatiesoftware voor het beheer van vitale infrastructuur zoals sluizen en bruggen. Een rechtszaak uit 2025 tegen leverancier Broadcom toont die afhankelijkheid: de rechter verplichtte het bedrijf in juni om nog twee jaar ondersteuning te bieden, omdat anders de continuïteit van cruciale waterwerken in gevaar zou komen. Dit benadrukt hoe kwetsbaar digitale systemen achter waterwerken zijn.

Inhaalinvesteringen
Met de toegenomen dreiging investeren waterschappen wel structureel in digitale beveiliging, blijkt uit de openbare aanbestedingen op TenderNed van de afgelopen twee jaar. Vooral operationele systemen zoals gemalen, sluizen en zuiveringsinstallaties krijgen extra aandacht. Nieuwe projecten richten zich op het monitoren en beveiligen van OT-netwerken, de digitale processen die fysieke infrastructuur aansturen. Nu waterveiligheid steeds meer afhankelijk is van digitale aansturing, groeit de noodzaak om deze systemen beter te bewaken.

Ook in netwerken wordt flink geïnvesteerd. Individuele opdrachten voor glasvezel en dataverbindingen lopen op tot ruim 4 miljoen euro, terwijl trajecten voor OT-monitoring oplopen tot 470.000. Daarnaast besteden waterschappen vaker beveiligingsdiensten uit, zoals Security Operations Centers en hosting. Cybersecurity verschuift daarmee van losse ingrepen naar een structurele functie.

Verder moderniseren waterschappen hun interne ICT. Aanbestedingen voor hardware, documentmanagement en zaaksystemen tonen dat verouderde software wordt afgebouwd en digitale processen gestandaardiseerd. Vrijwel alle opdrachten zijn openbaar, wat wijst op een actieve zoektocht naar nieuwe marktpartijen en expertise.

Waterschap Rijn en IJssel heeft de afgelopen jaren verschillende aanbestedingen gedaan in het onderhoud van hun netwerksoftware, voor 240.000 en 640.000 euro respectievelijk. Onduidelijk is of dit van toepassing is op de netwerken die de cyberveiligheid van waterwerken beheert. Hiernaast heeft het waterschap 280.930 euro besteed aan het verbeteren van de fysieke beveiliging van twee gebouwen met een focus op elektronische sloten, wat het moeilijker moet maken voor onbevoegden om toegang te krijgen tot deze locaties. 

Wetgeving
De waterschappen zijn zich bewust van kwetsbaarheden in hun infrastructuur en proberen die te dichten, zegt Vincent Lokin van de Unie van Waterschappen. Samen met TNO is een analyse gestart om cyberrisico’s in de watersector in kaart te brengen. Daarnaast werkt de overheid aan de uitvoering van een nieuwe Cyberveiligheidswet, waarvan de invoering tweemaal is uitgesteld en nu gepland staat voor april. Deze wet stelt hogere eisen aan de digitale weerbaarheid van vitale organisaties zoals waterschappen, gemeenten, drinkwaterbedrijven en energieleveranciers.

De wet verplicht organisaties hackpogingen te registreren en ernstige incidenten te melden. Ook geldt een zorgplicht: organisaties moeten risicoanalyses uitvoeren en passende maatregelen nemen om netwerk- en informatiesystemen te beveiligen. Voor waterschappen en Rijkswaterstaat verandert er met de nieuwe wet dat bestuursleden persoonlijk verantwoordelijk kunnen worden gehouden voor ernstige verstoringen. Een landelijk register voor incidentmeldingen bestaat al, en risicoanalyses worden regelmatig uitgevoerd, zoals bij ketenanalyses van TNO.

Toch loopt de invoering van de wet vertraging op. Ze is gebaseerd op de Europese NIS2-richtlijn, die sinds oktober 2024 geldt. Lidstaten moeten deze vertalen naar nationale wetgeving, maar in Nederland is de invoering meermaals uitgesteld. De huidige streefdatum is 1 april 2026. Tot die tijd hebben organisaties wel rechten, maar nog geen plichten. Ze kunnen gebruikmaken van het Computer Security Incident Response Team voor advies en ondersteuning, maar hoeven nog niet aan wettelijke eisen te voldoen. Wel zegt de hele sector hard te werken aan verbetering.

Onzekerheid
Zelfs als de Cyberveiligheidswet ingaat, is niet zeker of waterschappen en Rijkswaterstaat aan alle eisen kunnen voldoen. “Er is een groot tekort aan IT-personeel. De overheid is voor computermensen geen sexy sector om in te werken,” zegt ethisch hacker Wouter van Dongen. Dat beeld wordt bevestigd door een rapport van kennisplatform NLdigital uit 2023. Daarnaast zijn er zorgen over betaalbaarheid. Onderzoeker Max van der Horst: “Het oplossen van een kwetsbaarheid kost vaak meer dan de schade die je hebt bij een hack.” Ook spelen andere zorgen. “Ingrijpen om digitale veiligheid te verbeteren betekent dat je moet sleutelen aan processen waar je absoluut geen verstoringen wilt.”

De combinatie van verouderde systemen, toenemende digitale afhankelijkheid en geopolitieke spanningen maakt de waterwerken dus kwetsbaar. Of de nieuwe Cyberveiligheidswet en lopende maatregelen voldoende zijn om die risico’s te beperken, zal de komende jaren blijken.

Verantwoording
Dit achtergrondartikel is een onderzoeksjournalistieke samenwerking van Achterhoek Nieuws, samen met de regionale titels onder Mediahuis Regionaal West en RTV Oost. Voor dit onderzoek zijn op achtergrondbasis tien specialisten gesproken, onder wie ethische hackers, experts en onderzoekers. De aanbestedingen van november 2023 tot en met november 2025 voor verbetering van OT- en IT-beveiliging bij waterwerken van waterschappen en Rijkswaterstaat zijn bekeken. Het stuk leunt ook op meerdere recente rapporten. Daarnaast zijn twee informatieverzoeken verstuurd naar het ministerie van Infrastructuur en Waterstaat en de waterschappen. Ook zijn er vragenlijsten naar Rijkswaterstaat en de waterschappen gestuurd, die vanwege de gevoeligheid van de informatie niet konden worden ingevuld. Dit onderzoek is mede mogelijk gemaakt door het Fonds voor Bijzondere Journalistieke Projecten.

Reacties
Waar mogelijk zijn reacties van de relevante partijen verwerkt in de lopende tekst. Hieronder staan enkele reacties die niet zijn opgenomen.

Rijkswaterstaat en het ministerie van Infrastructuur en Waterstaat benadrukken dat weerbaarheid, mede door geopolitieke spanningen, steeds belangrijker wordt in de watersector. Hoogwaterbescherming geldt sinds 2005 als vitaal proces binnen de bescherming van cruciale infrastructuur, waarbij cyberveiligheid een essentiële randvoorwaarde is. Volgens Rijkswaterstaat zijn de afgelopen jaren via projecten en programma’s veel stappen gezet om de cyberveiligheid te versterken, zoals uitbreiding van het aantal bruggen en sluizen dat is aangesloten op het zogenoemde Security Operations Center. Dit centrum monitort objecten van het hoofdwatersysteem, hoofdwegennet en hoofdvaarwegennet. Daarnaast gebruiken het ministerie en Rijkswaterstaat analyses van de digitale en fysieke keten om kwetsbaarheden en risico’s in beeld te houden. Tegelijkertijd erkennen ze dat aanvullende maatregelen nodig zijn om te voldoen aan het hogere weerbaarheidsniveau van de nieuwe Cyberveiligheidswet en bespreken ze deze oproep, ook van de antiterreurorganisatie NCTV, met betrokken organisaties.

Rijkswaterstaat stelt verder dat het niet altijd problematisch is wanneer verouderde machines slecht aansluiten op moderne ICT-systemen. Dit is volgens de dienst een bewuste keuze binnen de cybersecurityaanpak. Verouderde systemen worden volgens de dienst soms opzettelijk ontkoppeld van moderne ICT-omgevingen om cyberrisico’s te beperken en veilige werkprocessen te waarborgen.