Rijk frustreert gemeenten met gebrek duidelijkheid

Gemeenten zijn zeer ongerust over nieuwe Europese cybersecurity-wetgeving NIS2 die in 2024 van kracht wordt. De rijksoverheid geeft namelijk geen duidelijkheid over de exacte eisen, zo klinkt de kritiek. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten blijkt dat slechts een handjevol concrete stappen maakt om zich voor te bereiden.

Beveiligingseisen

Momenteel geldt in Europa de Europese cybersecuritywet NIS1, die eisen stelt waar netwerk- en informatiesystemen aan moeten voldoen. Deze beveiligingseisen gelden nu alleen voor zo’n driehonderd essentiële organisaties, bijvoorbeeld in de gezondheidszorg en waterbedrijven. Met de inwerkingtreding van NIS2 per oktober 2024 worden straks zo’n achtduizend organisaties als een essentiële organisatie aangewezen, waaronder ook gemeenten. Wie niet aan de strengere cybersecurity-eisen voldoet, riskeert een bestuurlijke boete. Deze kunnen oplopen tot 10 miljoen euro of bij bedrijven tot 2 procent van de totale jaaromzet.

Gemeenten hebben nu dus nog iets meer dan een jaar tijd om aan de nieuwe IT-beveiligingseisen te voldoen. Daaronder vallen ingrijpende zaken als het in kaart hebben welke toeleveranciers er zijn, voor welke vitale processen gemeenten zelf verantwoordelijk zijn en het verbeteren van de security van die processen. Er lijkt nog een hoop werk te liggen: in het onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten kunnen slecht vijf gemeenten (6%) aangeven dat zij momenteel hun toeleveranciers in kaart hebben gebracht. Zes gemeenten (7%) kunnen aangeven dat ze de vitale processen in kaart hebben binnen hun organisatie.

Investeringen onduidelijk

Wat vooral overheerst in de antwoorden is dat gemeenten niet helder hebben wát ze moeten doen. Maar liefst zeventig van de tachtig gemeenten (88%) geeft aan dat het nog altijd onduidelijk is welke investeringen zij precies moeten doen. De oorzaak hiervoor is dat de Europese afspraken nog niet zijn vertaald naar Nederlandse wetgeving. Ook weet deze grote groep gemeenten niet hoe lang ze precies nodig hebben om aan de eisen te voldoen.

Een kleine groep, tien van de tachtig gemeenten, heeft dit (deels) al wél duidelijk. Zij geven onder meer aan dat er budget nodig is om meer inzicht te verwerven in welke cybersecuritymaatregelen nodig zijn voor bijvoorbeeld wegbeheer, afvalwater en afvalstoffenbeheer.

Enkele van deze tien gemeenten geven aan dat het beveiligingsbewustzijn van de hele organisatie verder versterkt moet worden. Er moeten opleidingen worden gevolgd, experts worden ingehuurd en er moeten gesprekken worden gevoerd worden met leveranciers. Ook zal er veel meer toetsing nodig zijn voor de genomen maatregelen op cybersecuritygebied.

De basis niet op orde

Er is weinig vertrouwen in een goede afloop. Slechts drie gemeenten (4%) durven het aan om volmondig ‘ja’ te antwoorden op de vraag of zij op tijd aan de wetgeving gaan voldoen. Daarnaast wordt ook duidelijk dat sommige gemeenten nog hun handen vol hebben om te voldoen aan de huidige bestaande eisen uit de Baseline Informatieveiligheid Overheid (BIO), die ook onderdeel zijn van de NIS2.

Onder meer de gemeente Groningen is nog druk met het ‘op orde brengen van de basis’, schrijft de gemeente in een reactie. 'Onder andere op gebied van technologie, personeel, training, beveiliging van informatiesystemen, identificatie en beheersing van risico's. Maar ook op het vlak van het opstellen en implementeren van beleid en procedures op het gebied van informatiebeveiliging en privacy.'

Snelle implementatie niet reëel

De Europese Unie gaat volgens Groningen uit van zeer snelle implementatie van de nieuwe eisen. 'Gezien de snelheid van Nederlandse overheden en gemeenten in het algemeen met de implementatie van de volledige BIO is niet te verwachten dat volledige compliance met NIS2 voor die datum reëel is.'

Een zestal gemeenten kan al wel aangeven dat er stappen zijn gezet specifiek voor NIS2, zoals de gemeente Sudwest Fryslân. Die heeft in jaarplannen al vastgelegd wat er in grote lijnen moet gebeuren voor NIS2, waaronder scholing van ambtenaren. De gemeente Lopik wil in elk geval na de zomer in gesprek gaan met leveranciers over de nieuwe eisen. De gemeente Nieuwegein heeft inmiddels sleutelfuncties, -processen en -technieken in kaart gebracht en een scenario-analyse uitgevoerd van de belangrijkste risico’s. 'We creëren bewustzijn over het belang en de urgentie van NIS2 in onze organisatie, in het bijzonder bij management, directie en bestuur.'

Bezorgde burgemeesters

De zorgen vanuit de gemeentewereld klinken de laatste weken steeds luider. Het cyberburgemeestersoverleg, bestaand uit een groep burgemeesters die op persoonlijke titel cyberzaken bespreken, uitte deze zorgen onlangs voor het eerst. De rijksoverheid kondigde een consultatieperiode aan voor de zomer van 2023, maar door uitblijven van Nederlandse ‘vertaling’ van de EU-wet valt er voor gemeenten nog altijd niets te consulteren.

'De rijksoverheid moet keuzes maken die een enorme impact kunnen hebben op de implementatie van NIS2. Zolang we niet weten wat de omzetting van de richtlijn naar nationale wetgeving behelst, kunnen wij ons niet voorbereiden. Er moet heel snel duidelijkheid komen,' aldus de cyberburgemeesters bij Binnenlands Bestuur.

Duidelijkheid is nodig, want de onrust onder CISO’s is inmiddels groot. De vraag is of NIS2 zich straks alleen richt op de kritische processen binnen de gemeenten, of op de algehele dienstverlening inclusief alle ketenpartners. 'We willen helder hebben wát er gaat gebeuren en of het proportioneel is,’ zegt burgemeester Rian van Dam van Hollands Kroon. 'Dit heeft ook consequenties voor bestuurlijke verantwoordelijkheid. Je kunt de gemeenten niet zo laten bungelen als nu gebeurt.'

VNG komt in actie

NIS2 staat met rood omcirkeld in de agenda bij de Vereniging Nederlandse Gemeenten (VNG), zo blijkt na navraag aan Andries Kok van VNG. Op 14 juni stemmen gemeenten tijdens het VNG-congres over een motie waarin gevraagd wordt om actie vanuit het Rijk. 'Een aantal zaken zijn nog niet helder. Die onderdelen die nog niet duidelijk zijn, brengt de VNG onder de aandacht bij de verantwoordelijke bewindspersonen,' aldus de directeur Lokaal Bestuur en Informatiesamenleving.

Op de vraag of VNG bezorgd is over de tijdsdruk die gepaard gaat met de invoering van de wet, meldt Kok dat tussen nu en 2026 er maar liefst 13 regelgevende initiatieven op gebied van digitalisering en cybersecurity aankomen. 'De wetten moeten in samenhang worden bekeken, niet afzonderlijk. De NIS2 gaat in per 17 oktober 2024. De afstemming tussen de verschillende ministeries is hierbij cruciaal en we beseffen dat dit een ingewikkelde operatie is. Hoe langer het duurt om tot een nationale doorvertaling te komen, hoe hoger de tijddruk voor de feitelijke implementatie voor alle betrokken partijen.'

Regels moeten uitvoerbaar zijn

VNG doet er volgens Kok alles aan om het gemeenten zo makkelijk mogelijk te maken wat betreft duidelijkheid over de scope, de verdeling van verantwoordelijkheden en geharmoniseerd toezicht. Ook gaat VNG voor vermindering van de auditlast plus een haalbare en uitvoerbare regelgeving voor lokale overheden.

Diverse experts, waaronder security-expert Dave Maasland, roepen bestuurders op om niet langer te wachten met reageren op NIS2. 'De omvang en de impact van deze wet zijn potentieel enorm. En dat geldt ook voor andere bedrijven.' Maasland schetst enkele praktische zaken die overheden nu al kunnen oppakken.

Hij stelt dat een risico-gebaseerde aanpak noodzakelijk is bij de implementatie van NIS2. Een lokale overheid moet nu al een risicoprofiel opstellen en voor ieder risico hebben uitgewerkt wat er gedaan kan worden en hoe de controle over de situatie kan worden verbeterd. 'Het hele proces ingericht hebben om incidenten in een vroeg stadium te kunnen signaleren en melden is nu al van grote waarde.' Hij vreest echter dat lokale overheden hier op dit moment nog niet aan toe zijn.

Kennis en kunde ontbreken

'De kennis en kunde ontbreekt vaak, mede vanwege de kleine afdelingen en openstaande vacatures. Het is voor lokale overheden daarnaast in elk geval belangrijk om met securityleveranciers in gesprek te gaan over hoe zij kijken naar de op handen zijnde verplichtingen, om zo duidelijk te hebben hoe processen zijn ingeregeld.' Hij wijst tot slot naar het gemeentelijke bestuur, waar besluitvaardigheid onmisbaar is om veranderingen op tijd in gang te zetten. 'Ik vraag me af of het onderwerp genoeg leeft in de gemeentelijke top.'

Volgens Maasland kunnen gemeenten echt niet te lang wachten met maatregelen nemen. 'Bij overheden wordt tegenwoordig vaak met ‘sprints’ gewerkt van enkele maanden waarin teams iets proberen te realiseren. Op dit moment hebben gemeenten nog zo’n 15 maanden, maar wanneer je dit vertaalt naar 4 tot 5 sprints wordt duidelijk dat die deadline wel erg dichtbij komt.'