De Vereniging van Nederlandse Gemeenten (VNG) mist samenhang tussen de verschillende ministeriële regelingen waarmee gemeenten te maken krijgen als de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) in werking treden. Gemeenten hebben volgens de VNG veel tijd en geld nodig om de regels te kunnen implementeren.

Praktische knelpunten

De implementatie van de Europese wetgeving (de NIS2-richtlijn en de CER-richtlijn) gaat in essentie over de manier waarop organisaties moeten omgaan met aanvallen van buitenaf. Gemeenten krijgen te maken met meerdere regelingen van verschillende ministeries, namelijk Binnenlandse Zaken en Koninkrijksrelaties, Infrastructuur en Waterstaat, en Volksgezondheid, Welzijn en Sport. Door onvoldoende samenhang tussen de regelingen ontstaan er praktisch knelpunten, voorziet de VNG in een consultatiereactie op de conceptregels. Het gaat onder andere om meldprocessen, informatie-uitwisseling en toezicht.

De uitwerking van de Europese richtlijnen en het toezicht daarop zijn per sector georganiseerd. Het rijk heeft erkend dat entiteiten, waaronder gemeenten, onder meerdere sectorale regimes kunnen vallen. Dat heeft tot gevolg dat ze te maken krijgen met verschillende toezichthouders, onderliggende regelgeving en CSIRT’s (Computer Security Incident Response Teams). Die toezichthouders en CSIRT’s maken onderlinge werkafspraken, maar volgens de VNG is dat niet genoeg. Er is behoefte aan duidelijke, juridisch verankerde handvatten voor samenhang, afstemming en informatie-uitwisseling. De gemeenten willen dat er op korte termijn regelgeving of uitvoeringsrichtlijnen komen die de samenhang expliciet borgen.

Aandachtspunten

In de brief vraagt de VNG aandacht voor duidelijke afspraken over zorgplicht, toezicht en invoeringstermijnen; een duidelijke en werkbare meldplicht bij cyberincidenten; 

Deze versturen we 3-4x per jaar.