De digitale weerbaarheid van onze organisaties is niet langer een vrijblijvende optie, maar een absolute noodzaak geworden om de continuïteit van de publieke zaak en het vertrouwen van de burger te kunnen waarborgen. Met de NIS2-richtlijn, die in onze nationale context wordt vertaald naar de Cyberbeveiligingswet (Cbw), komen bestuurders aan zet.

Cybersecurity is uitgegroeid tot een strategische managementtaak waarvoor de bestuurder eindverantwoordelijkheid draagt. In dit artikel staan we stil bij de overgang naar de Cbw en de BIO2 en de wijze waarop u het verschil kunt maken in de ontwikkeling van een veiligere digitale overheid.

Van de Europese NIS2-richtlijn naar de Nederlandse Cbw

De oorsprong van de verandering ligt bij de Network and Information Security Directive (NIS2-richtlijn), die eind 2022 door de Europese Unie werd vastgesteld. Deze heeft als doel de digitale weerbaarheid van alle lidstaten significant te verhogen. Met de komst van de NIS2-richtlijn is het aantal sectoren dat eronder valt aanzienlijk vergroot. Daarnaast zijn de verplichtingen veel strikter geformuleerd om ongewenste verschillen tussen de lidstaten te voorkomen.

Voor u als bestuurder binnen de publieke sector is de impact groot: de overheid is namelijk aangewezen als een van de nieuwe sectoren die volledig aan de verplichtingen moet voldoen. De Rijksoverheid werkt sinds 2023 aan de implementatie van deze richtlijn in de nationale Cyberbeveiligingswet (Cbw). Deze wet legt uw organisatie drie kernverplichtingen op:

• Zorgplicht: U bent verplicht om passende technische en organisatorische maatregelen te nemen om de netwerk- en informatiesystemen te beveiligen.
• Registratieplicht: Uw organisatie moet zich officieel aanmelden bij het daarvoor bestemde entiteitenregister.
• Meldplicht: Incidenten met een aanzienlijke impact moeten direct worden gemeld aan zowel de toezichthouder als het Computer Security Incident Response Team (CSIRT).

Onder de Cyberbeveiligingswet zijn een aantal van deze eerder genoemde verplichtingen verder uitgewerkt. Zo bevat het Cyberbeveiligingsbesluit, de algemene maatregel van bestuur, uitwerkingen van de Cbw die voor álle sectoren geldt. Tenslotte is er een Cyberbeveiligingsregeling met specifieke regels voor de sector overheid. Hierin wordt bijvoorbeeld uitgewerkt wanneer een incident gemeld moet worden en wordt de Baseline Informatiebeveiliging Overheid (BIO) 2 wettelijk verankerd als zorgplicht.

Risicogerichte focus

Sinds 2018 beschikt de overheid met de komst van de eerste BIO over één gezamenlijk normenkader voor alle gemeenten, provincies, waterschappen en de Rijksoverheid. Dit biedt grote voordelen, zoals een betere afstemming binnen ketens en het verlichten van administratieve lasten door aan te sluiten bij internationale regelgeving.

Deze versturen we 3-4x per jaar.