Gemeenten zijn zeer ongerust over nieuwe Europese cybersecurity wetgeving NIS2 die in 2024 van kracht wordt. De Rijksoverheid geeft namelijk geen duidelijkheid over de exacte eisen, zo klinkt de kritiek. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten blijkt dat slechts een handjevol concrete stappen maakt om zich voor te bereiden.

Momenteel geldt in Europa de Europese cybersecuritywet NIS1, die eisen stelt waar netwerk- en informatiesystemen aan moeten voldoen. Deze beveiligingseisen gelden nu alleen voor zo n driehonderd essentiele organisaties, bijvoorbeeld in de gezondheidszorg en waterbedrijven. Met de inwerkingtreding van NIS2 per oktober 2024 worden straks zo n achtduizend organisaties als een essentiele organisatie aangewezen, waaronder ook gemeenten. Wie niet aan de strengere cybersecurity-eisen voldoet, riskeert een bestuurlijke boete. Deze kunnen oplopen tot 10 miljoen euro of bij bedrijven tot 2 procent van de totale jaaromzet.

Gemeenten hebben nu dus nog iets meer dan een jaar tijd om aan de nieuwe IT-beveiligingseisen te voldoen. Daaronder vallen ingrijpende zaken als het in kaart hebben welke toeleveranciers er zijn, voor welke vitale processen gemeenten zelf verantwoordelijk zijn en het verbeteren van de security van die processen. Er lijkt nog een hoop werk te liggen: in het onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten kunnen slecht vijf gemeenten (6 procent) aangeven dat zij momenteel hun toeleveranciers in kaart hebben gebracht. Zes gemeenten (7 procent) kunnen aangeven dat ze de vitale processen in kaart hebben binnen hun organisatie.

Investeringen onduidelijk

Wat vooral overheerst in de antwoorden is dat gemeenten niet helder hebben wat ze moeten doen. Maar liefst zeventig van de tachtig gemeenten (88 procent) geeft aan dat het nog altijd onduidelijk is welke investeringen zij precies moeten doen. De oorzaak hiervoor is dat de Europese afspraken nog niet zijn vertaald naar Nederlandse wetgeving. Ook weet deze grote groep gemeenten niet hoe lang ze precies nodig hebben om aan de eisen te voldoen.

Een kleine groep, tien van de tachtig gemeenten, heeft dit (deels) al wel duidelijk. Zij geven onder meer aan dat er budget nodig is om meer inzicht te verwerven in welke cybersecuritymaatregelen nodig zijn voor bijvoorbeeld wegbeheer, afvalwater en afvalstoffenbeheer.

Enkele van deze tien gemeenten geven aan dat het beveiligingsbewustzijn van de hele organisatie verder versterkt moet worden. Er moeten opleidingen worden gevolgd, experts worden ingehuurd en er moeten gesprekken worden gevoerd met leveranciers. Ook zal er veel meer toetsing nodig zijn voor de genomen maatregelen op cybersecuritygebied.

Deze versturen we 3-4x per jaar.