NIS2 stelt flinke eisen aan gemeenten

Gemeenten zijn door de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties aangewezen als 'essentiële entiteit' in de NIS2-richtlijn. Daarmee krijgen ze te maken met flinke eisen op gebied van een zorgplicht, toezicht en een meldplicht om passende maatregelen te nemen op gebied van cybersecurity.

Grote verantwoordelijkheid voor gemeenten

De koepelorganisatie van gemeenten, VNG, is inmiddels geïnformeerd over het voornemen om gemeenten aan te wijzen als ‘essentiële entiteit’ in het kader van de NIS2 richtlijn. Gemeenten krijgen daarmee een grote verantwoordelijkheid en moeten cyberincidenten met ‘aanzienlijke gevolgen’ melden aan de toezichthouder (RDI) en aan het eigen Computer Security Incident Response Team (CSIRT). Dit is voor gemeenten vermoedelijk de Informatiebeveiligingsdienst (IBD).

Verandering niet voor alle gemeenten gelijk

‘Gezien het feit dat gemeenten nu al een zorgplicht (BIO), een meldplicht (IBD) en toezicht (Eenduidige Normatiek Single Information Audit, ENSIA) hebben zal de impact van NIS2 voor gemeenten afhankelijk zijn van de mate waarin nu al gedocumenteerd voldaan wordt aan de BIO. Daarom is het cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO’, schrijft de IBD op haar officiële website. 

Ongerustheid

Gemeenten maken zich al langer ongerust over NIS2. In een motie die werd ingediend bij VNG schreven gemeenten dat ze in grote mate afhankelijk zijn van onder meer hun ICT-dienstverleners om hieraan te voldoen. Ook stelden ze dat er veel onduidelijk is over de verantwoordelijkheden die uit de wetgeving voortkomen: momenteel kunnen ze nauwelijks voorbereidingen treffen. Er bleek ook een financiële kwestie mee te spelen: gemeenten stelden dat er geen budget is opgenomen voor NIS2 in de voorjaarsnota van het kabinet.

Te veel onduidelijk

In een eerder onderzoek van AG Connect, Binnenlands Bestuur en iBestuur werd de ongerustheid over NIS2 van gemeenten al duidelijk. Uit een enquête onder 80 gemeenten blijkt dat slechts een handjevol concrete stappen maakt om zich voor te bereiden.

De meeste gemeenten stelden te wachten op duidelijkheid. Slecht vijf gemeenten (6%) konden aangeven dat zij momenteel hun toeleveranciers in kaart hebben gebracht. Zes gemeenten (7%) kunnen aangeven dat ze de vitale processen in kaart hebben binnen hun organisatie. Dit zijn beiden beginstappen om aan de wet te kunnen voldoen.