Behoort de digitale weerbaarheid van bedrijven tot het takenpakket?
Een digitale aanval op een bedrijf of een evenement kan gevolgen hebben voor de lokale fysieke veiligheid. Is er dan ook een rol voor gemeenten weggelegd om de digitale weerbaarheid van bedrijven te vergroten? Juridisch zijn er mogelijkheden, zo blijkt uit onderzoek. Over de wenselijkheid en de uitvoerbaarheid ervan lopen de meningen uiteen.
Onduidelijk
In opdracht van de VNG onderzocht het lectoraat ‘Bestuur en Veiligheid in een Digitaliserende Samenleving’ van NHL Stenden of gemeenten mogelijkheden hebben om bij te dragen aan de digitale veiligheid van bedrijven en evenementen, en welke dan. “Aanvallen op vitale dienstverlening als een vliegveld of ziekenhuis kunnen ernstige gevolgen hebben voor de samenleving,” zegt lector Willem Bantema. “Nationaal en internationaal zijn er regels, maar tot ons onderzoek was het onduidelijk of en wat je daar op lokaal niveau aan kunt doen.”
Veiligheidsvoorschriften
Je kunt er iets aan doen, zo blijkt uit het onderzoek, dat tot stand kwam door literatuuronderzoek, juridisch onderzoek en interviews. Gemeenten kunnen vergunningseisen stellen op het gebied van digitale veiligheid aan bedrijven die in de gemeente gevestigd zijn, of bedrijven die er evenementen organiseren. Voor een deel is het afwachten wat de Cyberbeveiligingsdswet (de Nederlandse implementatie van de Europese NIS2-richtlijn) hierover zegt. Bestaande wetten, zoals de Omgevingswet en de Algemene Plaatselijke Verordening (APV) bieden mogelijk al wat ruimte om veiligheidsvoorschriften op te stellen. Van oudsher stellen gemeenten bedrijven eisen over fysieke veiligheid, maar het zou ook over digitale veiligheid kunnen gaan. Belangrijk is dan wel dat de eisen niet ingaan tegen hogere regelgeving.
Willekeur voorkomen
De volgende vraag is dan of het ook wenselijk is dat gemeenten dit gaan doen. Ook dat is onderzocht, door middel van interviews en een focusgroep. Experts geven aan dat belangrijk is om willekeur te voorkomen: het is niet handig als de regels voor digitale veiligheid per gemeente verschillen. Daarom raden zij aan om in de vergunningseisen aan te sluiten bij NEN ISO-standaarden voor informatiebeveiliging.
Over de vraag of er überhaupt een rol voor gemeenten is weggelegd bij het verhogen van de digitale weerbaarheid van bedrijven, verschillen de experts van mening. De één ziet er absoluut geen gemeentetaak in, de ander juist wel, omdat de fysieke leefomgeving of de openbare orde in het geding kunnen zijn bij een digitale aanval. Als het gaat om evenementen zijn ze eensgezinder. Hier zien ze wel mogelijkheden om regels op het gebied van digitale veiligheid te stellen, door middel van de eisen in een evenementenvergunning.
Gebrek aan deskundigheid
Is het ook praktisch mogelijk? Het grootste bezwaar dat de experts hebben, is dat niet alle gemeenten de benodigde cyberdeskundigheid in huis hebben. Personeelstekorten maken de zaak er niet beter op. Dit kunnen redenen zijn om dit onderwerp toch op regionaal en rijksniveau aan te pakken.
Er zijn nog andere manieren waarop gemeenten de digitale veiligheid van bedrijven kunnen beïnvloeden. Als aanbesteder kunnen ze weigeren zaken te doen met bedrijven die niet voldoen aan de NIS2-eisen. Het is nog niet duidelijk of de Cyberbeveiligingswet gemeenten de ruimte biedt om extra eisen te stellen aan bedrijven die niet onder de richtlijn vallen. Dit zijn kleine mkb-bedrijven, die juist relevant kunnen zijn voor gemeenten omdat hun werkingsgebied vaak ook klein zal zijn. ‘Mocht de mogelijkheid niet in de wet worden opgenomen, dan is het de vraag of gemeenten dit mogen op grond van hun aanvullende regelgevende bevoegdheid,’ schrijven de onderzoekers.
Praten of afspraken maken
Gemeenten zouden ook met bedrijven kunnen praten over het belang van digitale weerbaarheid. Veel respondenten vinden het echter logischer als de veiligheidsregio of de nationale overheid deze taak op zich neemt. Bij risicovolle bedrijven kunnen gemeenten afspreken dat van digitale incidenten van een bepaalde omgeving een melding wordt gedaan bij de burgemeester of de veiligheidsrisico. Zo kan de gemeente de risico’s ervan voor de openbare orde inventariseren.
In afwachting van de implementatie van NIS2 zouden gemeente nu al digitale risico’s in kaart moeten brengen, raden de onderzoekers aan. “Gemeenten moeten proactief werken aan bewustwording en samenwerking met bedrijven om digitale risico’s te verminderen en zich zo voorbereiden op de nieuwe regels die door NIS2 worden ingevoerd,” zegt Bantema. “Kortom: weet wat de risico’s bij bedrijven en evenementen op jouw grondgebied zijn.”
Lees ook:
- Drie aannames over de Cyberbeveiligingswet onder de loep – iBestuur
- VNG wil basisset inkoopeisen cyberveiligheid voor hele overheid – iBestuur
- Laat gemeenten voldoen aan internationale standaard ISO 27001 – iBestuur
Gevalletje abonnementje Bitsight.com en je hebt een God’s Eye View op alle onderlinge relaties van bedrijven over de as van digitale risico’s. Zeker aan te raden voor gemeenten, al was het maar omdat veel diensten zijn uitbesteed en de Bestuurder DataVoortbrengingsKeten verantwoordelijk is. Best handig om te weten hoe de diverse partijen in het Data Ecosysteem hun digitale risicobeheersing op orde hebben.