VNG deelt feedback op Cyberbeveiligingswet

Volgens de VNG doen de conceptwetteksten voor de Cyberbeveiligingswet (Cbw) en Wet weerbaarheid kritieke entiteiten (Wwke) nog onvoldoende recht aan de verschillen tussen de gemeenten. Het rijk zou gemeenten moeten compenseren voor de implementatiekosten van de Cbw. En dan niet per inwoner, want kleine gemeenten hebben dezelfde kosten en inspanningen als grotere, stelt de VNG.

Verbetersuggesties

In de afgelopen maanden kon iedereen verbetersuggesties geven op de wetsvoorstellen. Het zijn de Nederlandse 'vertalingen' van de Europese Network and Information Security Directive (de NIS2-richtlijn) en de Critical Entities Resilience Directive (de CER-richtlijn) in wetten. Inmiddels is de consultatieperiode voorbij. 

In een brief aan de minister van J&V en de staatssecretaris van digitalisering reageert de VNG op de wetsvoorstellen. Gemeenten willen door het rijk worden gecompenseerd voor de implementatiekosten van de Cbw, schrijft de VNG. De vergoeding mag niet afhangen van het aantal inwoners, want kleinere gemeenten hebben dezelfde kosten en inspanningen als de grote om aan de wet te voldoen, omdat ze dezelfde processen gebruiken en beheren. Mede met het oog op het ‘Ravijnjaar’ 2026 pleit de VNG voor een risico-gebaseerde implementatie van de zorgplicht van de Cbw en de BIO2.0, ‘met een balans tussen effectiviteit en kosten’.

Verantwoordelijkheid dragen

Bijzonder aan NIS2 is dat bestuurders verantwoordelijkheid gaan dragen voor de digitale weerbaarheid van hun organisatie. De VNG vindt het een slecht idee dat individuele functionarissen aansprakelijk kunnen worden gesteld. Ze stellen voor om in plaats daarvan bestuursorganen (volgens de definitie van de Algemene wet bestuursrecht) verantwoordelijk te maken.

Voor de Europese richtlijnen geldt dat essentiële entiteiten, zoals gemeenten, een meldplicht hebben voor ‘significante’ incidenten en ‘aanzienlijke’ verstoringen. Dat biedt nogal wat ruimte voor interpretatie, vindt de VNG, die vraagt om een concrete definitie. Ook moet duidelijk zijn bij welke instanties gemeenten hun melding moeten doen.

Niet meteen een boete

Op dit moment verantwoorden gemeenten zich jaarlijks via de ENSIA-methodiek (Eenduidige Normatiek Single Information Audit) voor hun inspanningen op het gebied van digitale weerbaarheid. Als er door de nieuwe wetten extra audits en onderzoeken nodig zijn, dan moet dat wel haalbaar en betaalbaar zijn voor gemeenten, vindt de VNG, die voorstelt om de wetten en normenkaders goed op elkaar af te stemmen, zodat de auditlasten omlaag kunnen.

Ten slotte willen de gemeenten de kans krijgen om aan de nieuwe wetgeving te voldoen, zonder meteen het risico te lopen op een boete.