Nieuwe cybersecuritywet bezorgt gemeenten slapeloze nachten
Gemeenten zijn zeer ongerust over nieuwe Europese cybersecurity-wetgeving NIS2 die in 2024 van kracht wordt. De Rijksoverheid geeft namelijk geen duidelijkheid over de exacte eisen, zo klinkt de kritiek. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur blijkt dat slechts 10 van 80 gemeenten concrete stappen maken om zich voor te bereiden.
cybersecuritywet NIS2
Momenteel geldt in Europa de Europese cybersecuritywet NIS1, die eisen stelt waar netwerk- en informatiesystemen aan moeten voldoen. Deze beveiligingseisen gelden nu alleen voor zo’n driehonderd essentiële organisaties, bijvoorbeeld in de gezondheidszorg en waterbedrijven. Met de inwerkingtreding van NIS2 per oktober 2024 worden straks zo’n achtduizend organisaties als een essentiële organisatie aangewezen, waaronder ook gemeenten. Wie niet aan de strengere cybersecurity-eisen voldoet, riskeert een bestuurlijke boete. Deze kunnen oplopen tot 10 miljoen euro of bij bedrijven tot 2 procent van de totale jaaromzet.
Gemeenten hebben nu dus nog iets meer dan een jaar tijd om aan de nieuwe IT-beveiligingseisen te voldoen. Er lijkt nog een hoop werk te liggen: in het onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten kunnen slechts vijf gemeenten (6%) aangeven dat zij momenteel hun toeleveranciers in kaart hebben gebracht. Zes gemeenten (7%) kunnen aangeven dat ze de vitale processen in kaart hebben binnen hun organisatie.
Onduidelijkheid over investeringen
Wat vooral overheerst in de antwoorden is dat gemeenten niet helder hebben wát ze moeten doen. Maar liefst zeventig van de tachtig gemeenten (88%) geeft aan dat het nog altijd onduidelijk is welke investeringen zij precies moeten doen. De oorzaak hiervoor is dat de Europese afspraken nog niet zijn vertaald naar Nederlandse wetgeving. Ook weet deze grote groep gemeenten niet hoe lang ze precies nodig hebben om aan de eisen te voldoen.
Een kleine groep, tien van de tachtig gemeenten, heeft dit (deels) al wél duidelijk. Zij geven onder meer aan dat er budget nodig is om meer inzicht te verwerven in welke cybersecuritymaatregelen nodig zijn voor bijvoorbeeld wegbeheer, afvalwater en afvalstoffenbeheer. Enkele van deze tien gemeenten geven aan dat het beveiligingsbewustzijn van de hele organisatie verder versterkt moet worden. Er moeten opleidingen worden gevolgd, experts worden ingehuurd en er moeten gesprekken worden gevoerd worden met leveranciers. Ook zal er veel meer toetsing nodig zijn voor de genomen maatregelen op cybersecuritygebied. Er is weinig vertrouwen in een goede afloop. Slechts drie gemeenten (4%) durven het aan om volmondig ‘ja’ te antwoorden op de vraag of zij op tijd aan de wetgeving gaan voldoen.