Cyberaanval op Noorse dam toont urgentie voorbereiding voor Nederlandse waterbeheerders

Op 7 april 2025 ontdekten operators van de Lake Risevatnet dam bij Bremanger dat een waterafvoerklep vier uur lang op maximale capaciteit had gestaan zonder autorisatie. De klep was volledig geopend, de waterafgifte verhoogd met bijna 500 liter per seconde – en niemand had het in de gaten.¹ Noorwegen sprak van een cyberaanval, uitgevoerd door Rusland.  

De gevolgen bleven beperkt omdat het om een kleine installatie ging die geen elektriciteit levert aan het nationale netwerk. Maar de bestuurlijke vraag blijft hangen: hoelang duurt het bij ons voordat zo'n situatie wordt opgemerkt? En belangrijker: weten operators dan wat te doen?

Het incident in Noorwegen past in een patroon dat Nederlandse infrastructuurbeheerders niet kunnen negeren. Hybride dreigingen kenmerken zich door het combineren van meerdere aanvalsvectoren: digitale toegang wordt geforceerd, fysieke processen worden gemanipuleerd, en menselijke besluitvorming wordt onder druk gezet. Noorse autoriteiten schreven het incident later toe aan pro-Russische actoren, waarbij een video op Telegram verscheen met het watermerk van hacktivist groep ZPentest.²  

De kern van het probleem is niet de technische toegang, die zal ondanks alle maatregelen soms doorbroken worden. De kern is wat er daarna gebeurt. Vier uur onopgemerkt betekent vier uur waarin verkeerde beslissingen genomen kunnen worden, waarin impact zich opbouwt, waarin herstel vertraagt. Onderzoek wijst uit dat ongeveer 60 procent van aanvallen op operationele technologie wordt toegeschreven aan statelijke actoren, waarbij de energiesector met 39 procent het meest getroffen wordt.³ Dit gaat niet meer over IT-incidenten. Dit gaat over het tijdelijk verliezen van regie over vitale processen.

De verschuiving die nodig is, loopt van "hoe voorkomen we inbreuken?" naar "hoe herstellen we besturing als die tijdelijk wegvalt?" Perfecte preventie bestaat niet. Operationele weerbaarheid wel.

‍

Voor Nederland heeft dit incident een specifieke lading. Nederlandse infrastructuur kent complexe besturingssystemen waarbij waterpeilen, gemaalcapaciteit en sluisbediening in balans gehouden moeten worden. Veel installaties zijn decennia oud, ontworpen in een tijd waarin remote access ondenkbaar was. Modernisering heeft connectiviteit mogelijk gemaakt, maar heeft ook nieuwe vragen opgeworpen over verantwoordelijkheden. De Operationele Technologie (OT) in deze systemen gaat vaak decennia mee, waarbij beschikbaarheid belangrijker is geweest dan Integriteit en Veiligheid, terwijl deze laatste twee voor IT juist belangrijk zijn.  

Vaak wordt OT beschermt door air gap (een beveiligingsmaatregel waarbij de computer of het netwerk wordt geïsoleerd van andere systemen, met name van het internet of externe netwerken) maar in de huidige tijd is dat lastig vol te houden, want we willen op afstand monitoren en beheersen.

De recente kamerbrief over weerbaarheid tegen hybride en militaire dreigingen noemt expliciet sectoren zoals waterbeheer, energie-infrastructuur en afvalwaterzuivering als vitaal.⁴ De AIVD en MIVD waarschuwen voor toegenomen interesse van vreemde mogendheden in Nederlandse infrastructuur, waarbij sabotage tot de waargenomen dreigingen behoort.⁵  

Voor beheerders betekent tijdelijk controleverlies niet alleen operationele ontwrichting. Het betekent acute reputatieschade, mogelijke aansprakelijkheid, en – bij vitale diensten – maatschappelijke impact die binnen uren kan escaleren.  

Tijdelijk verlies van besturing raakt direct aan bestuurlijke aansprakelijkheid. Besluiten over doorgaan, stoppen of overschakelen op handmatige processen worden vaak onder tijdsdruk genomen, met onvolledige informatie. Als deze beslismomenten niet vooraf zijn belegd, geoefend en gemandateerd, verschuift het risico van operationeel falen naar bestuurlijk falen.

Bij het Noorse incident bleef de situatie vier uur onopgemerkt. Voor Nederlandse installaties die onderdeel zijn van een groter netwerk zou dat betekenen dat verkeerde waterpeilen zich kunnen doorzetten naar andere systemen voordat iemand ingrijpt. Nederlandse waterbeheerorganisaties moeten zich afvragen: hebben wij deze besturingsscenario's doorgedacht? Weten operators wat ze moeten doen als digitale besturing niet meer betrouwbaar is? Zijn crisisplannen gemaakt voor situaties waarin we tijdelijk de regie kwijt zijn?

Organisaties die verantwoordelijk zijn voor vitale infrastructuur kunnen zich op drie niveaus voorbereiden op scenario's waarin besturing tijdelijk wegvalt.

Ten eerste: dreigingsbeelden die realistische combinaties van vectoren beschrijven. Het gaat niet om abstracte risico's, maar om concrete vragen: welke actoren hebben interesse in onze assets? Welke combinaties van digitale toegang, fysieke aanwezigheid en interne kennis zijn realistisch? Wat zijn de kritieke processen waarbij verlies van besturing de grootste impact heeft? Proximities ontwikkelt dergelijke dreigingsbeelden specifiek voor Nederlandse vitale sectoren, waarbij geopolitieke analyse vertaald wordt naar operationele overwegingen.

Ten tweede: crisismanagementplannen die controleverlies als uitgangspunt nemen. Niet alleen "wat doen we bij een incident?", maar "hoe herstellen we besturing als systemen onbetrouwbaar zijn?" Dit vereist procedures voor handmatige override, escalatiestromen die ook werken als digitale communicatie twijfelachtig is, en heldere mandaten voor operators die onder druk beslissingen moeten nemen. Wij ondersteunen organisaties bij het opstellen van dergelijke plannen en bij oefeningen die testen of procedures in stressvolle situaties daadwerkelijk werken.

Ten derde: security by design voor moderniseringsprojecten en nieuwe assets. Bij het ontwerpen van nieuwe infrastructuur of het moderniseren van bestaande installaties kan vanaf het begin rekening gehouden worden met scenario's waarin digitale besturing faalt. Hoe blijft een systeem veilig als de besturingslaag gecompromitteerd is? Welke fysieke redundanties zijn nodig? Welke automatische veiligheidsmaatregelen treden in werking? Dit vraagt om een ontwerpbenadering die tien jaar vooruitkijkt naar potentieel geëscaleerde dreigingen, iets waar we een methodiek voor hebben ontwikkeld die in toenemende mate wordt toegepast bij nieuwe vitale assets.

Het incident bij de Noorse dam laat zien dat verlies van besturing geen theoretisch risico is, maar een bestuurlijke realiteit. Niet omdat systemen falen, maar omdat vooraf niet is vastgelegd wie beslist wanneer digitale besturing onbetrouwbaar wordt. Besturen die hier pas over nadenken ná een incident, hebben in feite al besloten te laat te zijn.

¹ Claroty, ‘Cyberattack on Norwegian Dam Highlights Password Exposure Risks’, claroty.com, 26 juni 2025.

² International Water Power, ‘Norway blames Russia for cyberattack on hydropower dam’, waterpowermagazine.com, 15 augustus 2025.

³ Rockwell Automation & Cyentia Institute, ‘New Research Finds Cyberattacks Against Critical Infrastructure on the Rise, State-affiliated Groups Responsible for Nearly 60%’, 19 september 2023.

⁴ Kamerbrief Weerbaarheid Hybride en Militaire Dreigingen, 6 december 2024.

⁵ AIVD & MIVD, Dreigingsbeeld Statelijke Actoren (DBSA), 17 juli 2025.