Gemeenten vragen om eenduidige inkoopeisen cybersecurity

In aanloop naar het Kamerdebat over informatiebeveiliging bij de overheid, dat op donderdag 12 september plaatsvindt, vragen de gemeenten om duidelijke regels voor de inzet van hard- en software en een basisset aan inkoopeisen voor de hele overheid.

Eisensets sluiten niet op elkaar aan

In een brief aan de woordvoerders Digitale Zaken schrijft de VNG dat gemeenten mogelijkheden zien om de inzet van risicovolle producten of diensten te beperken. Dat willen ze graag doen ‘aan de voorkant van het inkoop- en aanbestedingsproces’, in samenwerking met de leveranciers.

Het probleem is dat de handreikingen en eisensets die de verschillende ministeries hiervoor hebben gepubliceerd, niet op elkaar aansluiten. Zo zijn er de inkoopeisen cybersecurity overheid (ICO), opgesteld door de staatssecretaris voor digitalisering. De toepassing van de ICO-eisenset is onderdeel van de Baseline Informatiebeveiliging Overheid (BIO). Deze eisenset wordt waarschijnlijk verplicht als de nieuwe Cyberbeveiligingswet ingaat, want die gaat uit van de BIO. Maar er is ook nog de toolbox veilig inkopen van de NCTV, die onlangs werd gepubliceerd. Daarbovenop stelt de minister van Economische Zaken namens de EU cybersecurityeisen aan leveranciers vanuit de Cyber Resilience Act.

Basisset aan inkoopeisen nodig

De gemeenten vragen de landelijke overheid nu om de eisen aan producten of diensten uit landen met een offensieve cyberagenda in lijn te brengen met de andere eisen vanuit bijvoorbeeld de ICO, de toolbox veilig inkopen en de Cyber Resillience Act. Zo kunnen gemeenten de verantwoordelijkheid delen in het aanbestedingsproces met leveranciers en producenten.

De VNG wil daarnaast dat er interbestuurlijk een goverance en proces wordt ingericht, dat moet leiden tot ‘een samenhangende basisset aan inkoopeisen cybersecurity waar de hele overheid aan moet voldoen’. ‘Op dit moment is er […] geen interbestuurlijke governance en proces ingericht voor het opstellen, bijstellen en vaststellen van één basisset aan ICO-inkoopeisen cybersecurity waar de hele overheid aan zou moeten voldoen. Ook is er geen samenhang in de aanpak met andere vakministers,’ schrijven de gemeenten.

Tot slot merken ze op dat een tool een middel is en geen doel. Dat slaat op de toolbox veilig inkopen, die volgens hen te veel tot doel wordt verheven.