Onderzoek: Nieuwe cybersecuritywet bezorgt gemeenten slapeloze nachten
Gemeenten zijn zeer ongerust over nieuwe Europese cybersecurity wetgeving NIS2 die in 2024 van kracht wordt. De Rijksoverheid geeft namelijk geen duidelijkheid over de exacte eisen, zo klinkt de kritiek. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten blijkt dat slechts een handjevol concrete stappen maakt om zich voor te bereiden.
Momenteel geldt in Europa de Europese cybersecuritywet NIS1, die eisen stelt waar netwerk- en informatiesystemen aan moeten voldoen. Deze beveiligingseisen gelden nu alleen voor zo n driehonderd essentiele organisaties, bijvoorbeeld in de gezondheidszorg en waterbedrijven. Met de inwerkingtreding van NIS2 per oktober 2024 worden straks zo n achtduizend organisaties als een essentiele organisatie aangewezen, waaronder ook gemeenten. Wie niet aan de strengere cybersecurity-eisen voldoet, riskeert een bestuurlijke boete. Deze kunnen oplopen tot 10 miljoen euro of bij bedrijven tot 2 procent van de totale jaaromzet.
Gemeenten hebben nu dus nog iets meer dan een jaar tijd om aan de nieuwe IT-beveiligingseisen te voldoen. Daaronder vallen ingrijpende zaken als het in kaart hebben welke toeleveranciers er zijn, voor welke vitale processen gemeenten zelf verantwoordelijk zijn en het verbeteren van de security van die processen. Er lijkt nog een hoop werk te liggen: in het onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten kunnen slecht vijf gemeenten (6 procent) aangeven dat zij momenteel hun toeleveranciers in kaart hebben gebracht. Zes gemeenten (7 procent) kunnen aangeven dat ze de vitale processen in kaart hebben binnen hun organisatie.
Investeringen onduidelijk
Wat vooral overheerst in de antwoorden is dat gemeenten niet helder hebben wat ze moeten doen. Maar liefst zeventig van de tachtig gemeenten (88 procent) geeft aan dat het nog altijd onduidelijk is welke investeringen zij precies moeten doen. De oorzaak hiervoor is dat de Europese afspraken nog niet zijn vertaald naar Nederlandse wetgeving. Ook weet deze grote groep gemeenten niet hoe lang ze precies nodig hebben om aan de eisen te voldoen.
Een kleine groep, tien van de tachtig gemeenten, heeft dit (deels) al wel duidelijk. Zij geven onder meer aan dat er budget nodig is om meer inzicht te verwerven in welke cybersecuritymaatregelen nodig zijn voor bijvoorbeeld wegbeheer, afvalwater en afvalstoffenbeheer.
Enkele van deze tien gemeenten geven aan dat het beveiligingsbewustzijn van de hele organisatie verder versterkt moet worden. Er moeten opleidingen worden gevolgd, experts worden ingehuurd en er moeten gesprekken worden gevoerd met leveranciers. Ook zal er veel meer toetsing nodig zijn voor de genomen maatregelen op cybersecuritygebied.
Verder lezen bij de bron- De Cyber Resilience Act is sinds 10 december in werking - 14 januari 2025
- Autoriteit Persoonsgegevens kritisch op privacy aspecten in wetsvoorstel financieel toezicht - 14 januari 2025
- Amsterdam zet niet meer in op slimme verkeerslichten wegens privacywetgeving - 13 januari 2025
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
De Cyber Resilience Act is sinds 10 december in werking | Verder lezen | |
Autoriteit Persoonsgegevens kritisch op privacy aspecten in wetsvoorstel financieel toezicht | Verder lezen | |
Amsterdam zet niet meer in op slimme verkeerslichten wegens privacywetgeving | Verder lezen | |
Cybersecuritybedrijven zien AI cyberaanvallen als trend voor 2025 | Verder lezen | |
Amerikanen beschuldigen China van cyberaanval op ministerie: Ernstig incident | Verder lezen | |
Vlaamse privacywaakhond dreigt met verbod op slimme camera s: Dienen om overtredingen te minderen, niet financieel uit te buiten | Verder lezen | |
AP: privacy moet beter als DNB hypotheekgegevens opvraagt | Verder lezen | |
De Tweede Kamer wil een uniforme methodiek voor pentesten | Verder lezen | |
Onderzoek: 84 procent van Fortune 500 bedrijven zakt voor cybersecuritytest | Verder lezen | |
Privacy First bezorgd over uitwisselen Nederlandse patientdata via Microsoft cloud | Verder lezen |