Skip to main content

Bestuurders aan zet met de Cbw en BIO2!

De digitale weerbaarheid van onze organisaties is niet langer een vrijblijvende optie, maar een absolute noodzaak geworden om de continuïteit van de publieke zaak en het vertrouwen van de burger te kunnen waarborgen. Met de NIS2-richtlijn, die in onze nationale context wordt vertaald naar de Cyberbeveiligingswet (Cbw), komen bestuurders aan zet.

Cybersecurity is uitgegroeid tot een strategische managementtaak waarvoor de bestuurder eindverantwoordelijkheid draagt. In dit artikel staan we stil bij de overgang naar de Cbw en de BIO2 en de wijze waarop u het verschil kunt maken in de ontwikkeling van een veiligere digitale overheid.

Van de Europese NIS2-richtlijn naar de Nederlandse Cbw

De oorsprong van de verandering ligt bij de Network and Information Security Directive (NIS2-richtlijn), die eind 2022 door de Europese Unie werd vastgesteld. Deze heeft als doel de digitale weerbaarheid van alle lidstaten significant te verhogen. Met de komst van de NIS2-richtlijn is het aantal sectoren dat eronder valt aanzienlijk vergroot. Daarnaast zijn de verplichtingen veel strikter geformuleerd om ongewenste verschillen tussen de lidstaten te voorkomen.

Voor u als bestuurder binnen de publieke sector is de impact groot: de overheid is namelijk aangewezen als een van de nieuwe sectoren die volledig aan de verplichtingen moet voldoen. De Rijksoverheid werkt sinds 2023 aan de implementatie van deze richtlijn in de nationale Cyberbeveiligingswet (Cbw). Deze wet legt uw organisatie drie kernverplichtingen op:

  • Zorgplicht: U bent verplicht om passende technische en organisatorische maatregelen te nemen om de netwerk- en informatiesystemen te beveiligen.
  • Registratieplicht: Uw organisatie moet zich officieel aanmelden bij het daarvoor bestemde entiteitenregister.
  • Meldplicht: Incidenten met een aanzienlijke impact moeten direct worden gemeld aan zowel de toezichthouder als het Computer Security Incident Response Team (CSIRT).

Onder de Cyberbeveiligingswet zijn een aantal van deze eerder genoemde verplichtingen verder uitgewerkt. Zo bevat het Cyberbeveiligingsbesluit, de algemene maatregel van bestuur, uitwerkingen van de Cbw die voor álle sectoren geldt. Tenslotte is er een Cyberbeveiligingsregeling met specifieke regels voor de sector overheid. Hierin wordt bijvoorbeeld uitgewerkt wanneer een incident gemeld moet worden en wordt de Baseline Informatiebeveiliging Overheid (BIO) 2 wettelijk verankerd als zorgplicht.

Risicogerichte focus

Sinds 2018 beschikt de overheid met de komst van de eerste BIO over één gezamenlijk normenkader voor alle gemeenten, provincies, waterschappen en de Rijksoverheid. Dit biedt grote voordelen, zoals een betere afstemming binnen ketens en het verlichten van administratieve lasten door aan te sluiten bij internationale regelgeving.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen