'Onrust over Cyberbeveiligingswet onterecht'

Over de Europese cyberveiligheidsrichtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet, doen nogal wat aannames de ronde. Binnenlands Bestuur legt er drie voor aan Jasper Nagtegaal, directeur Digitale Weerbaarheid bij de Rijksinspectie Digitale Infrastructuur.

Investeren in digitale veiligheid

De Rijksinspectie Digitale Infrastructuur (RDI) moet toezichthouden op de uitvoering van de nieuwe Cyberbeveiligingswet (Cbw), die voortvloeit uit de tweede Europese Network and Information Directive (NIS2). Afhankelijk van de behandeling van de Cbw door de Tweede Kamer zal deze wet naar verwachting in de loop van 2025 worden geïmplementeerd.

‘De Cbw brengt een verplichting met zich mee die gemeenten eigenlijk al hebben,’ zegt directeur Digitale Weerbaarheid Jasper Nagtegaal. Hij doelt op de bestaande Baseline Informatiebeveiliging Overheid (BIO), het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Met de zorgplicht in de Cbw zal de BIO, via lagere wetgeving, een wettelijke verplichting worden voor de overheid, met een toezichthouder die preventief om de hoek kan komen kijken op momenten dat er iets misgaat. ‘In de kern gaat het erom dat gemeenten vanwege de verregaande digitalisering moeten investeren in hun digitale veiligheid.’

Desondanks bestaat er onrust binnen de overheid over NIS2 – en dat is de RDI niet ontgaan. Nagtegaal grijpt het interview met Binnenlands Bestuur graag aan om een drietal aannames die rondgaan te weerleggen.

1) Binnenkort staat er een busje met inspecteurs van de RDI voor de deur van de gemeente, het waterschap of de provincie, die komen controleren of we wel aan alle verplichtingen van de Cyberbeveiligingswet voldoen.

‘Ons logo op busjes zou wel helpen om onze naamsbekendheid te vergroten, ha ha. Maar nee, hier hebben we de mensen helemaal niet voor en het past ook niet bij het model dat we voor ogen hebben. Dat model is gebaseerd op interbestuurlijk toezicht en is complementair aan de bestaande verantwoordingsmechanismen. We onderzoeken eerst hoe het systeem van digitale weerbaarheid is ingericht. Waar zit de informatie en hoe wordt die nu al gecontroleerd? Vervolgens kijken we hoe we de efficiëntie en effectiviteit van die verantwoording kunnen vergroten. We zitten dus meer in een onderzoeksmodus dan in een inspectiemodus.’

Boetes

Het is best mogelijk dat de RDI op den duur een keer langskomt, maar dan niet om specifiek de informatiehuishouding van een enkele gemeente te doorzoeken. En die boetes? Hoewel de RDI niet meteen hard inzet op handhaving, is het wel mogelijk om boetes uit te delen voor gemeenten die ernstig in gebreke blijven. ‘Maar dan moet je denken aan situaties waarbij onaanvaardbare risico’s ontstaan of die een grote maatschappelijke onrust veroorzaken, bijvoorbeeld doordat de dienstverlening van een grote gemeente langdurig verstoord is’, zegt Nagtegaal.

2) De Cyberbeveiligingswet brengt een zware auditlast met zich mee.

‘Dit is een hardnekkig misverstand. We weten dat gemeenten zich hier grote zorgen over maken, maar we zijn er echt niet op uit om een extra auditlast te creëren. We willen juist informatie uit het bestaande verantwoordingssysteem goed hergebruiken. En we werken veel samen: met de koepels, met het ministerie van BZK, met andere toezichthouders. Als toezichthouders hebben wij ook te maken met een grote organisatielast. Het is niet efficiënt als we allemaal een eigen informatiestroom opbouwen. Met elkaar moeten wij dus zorgen voor goede waarborgen om informatie uit te wisselen, zodat we die kunnen hergebruiken als er een bijzonder incident is.’

Implementatiekosten

Maar al die implementatiekosten dan, die gemeenten met de komst van NIS2 zouden krijgen en die ze op het rijk willen verhalen? Wordt deze wet een dure grap voor kleine gemeenten? ‘Dat weet ik oprecht niet, omdat ik geen inzicht heb in wat ze al hebben ingericht. Ik neem aan dat alle gemeenten al iets van doen hebben met de BIO en dat er dus al sprake is van een verantwoordingssystematiek. Net als bij bedrijven is de huishouding van gemeenten over de hele linie waarschijnlijk nog niet op het gewenste niveau. Overheden die de noodzaak van digitale weerbaarheid nog niet zo zagen, zullen nu een been moeten bijtrekken.’

Het tekort aan ict’ers vormt daarbij een grote uitdaging. Net als voor de toezichthouders en de markt is het voor gemeenten lastig om de capaciteit bij elkaar te sprokkelen, erkent Nagtegaal. ‘Probeer samen te werken op resources en gebruik te maken van wat er al is, zoals goede standaarden en best practices’, raadt hij aan.

3) De Cyberbeveiligingswet gaat over hackers in hoodies

‘Digitale weerbaarheid gaat over risicomanagement. Kijk dus niet alleen naar de IT-kant, maar naar de algehele weerbaarheid van je organisatie ten aanzien van je digitale afhankelijkheden. Het merendeel van de uitval wordt nog altijd veroorzaakt door onbedoelde fouten, niet door actieve dreigingen. Weerbaarheid gaat ook over de opleiding van de medewerkers en over de mate van afhankelijkheid van dienstverleners. Hoe snel heb je een alternatief voorhanden als dat nodig is?’

Het voordeel van minder focus op cyber is dat bestuurders zich over het algemeen beter op hun gemak voelen bij een breed gesprek over risicomanagement. ‘Je voert ineens een heel ander gesprek’, zegt Nagtegaal opgetogen. ‘Je hebt er andere kennis, kunde en vaardigheden voor nodig, die je misschien al lang en breed
in huis hebt.’ Als hij gemeenten één ding mag meegeven, dan is het om de Cbw niet als ‘weer een moetje’ te beschouwen. ‘Het is geen kwestie van vinkjes zetten om NIS2-compliant te worden. Het gaat om het gesprek over de omgang met risico’s.’

Lees het volledige artikel in Binnenlands Bestuur nr. 15 van deze week. (inlog)