Laat gemeenten voldoen aan internationale standaard ISO 27001
Gemeenten zijn vorige week aangewezen als ‘essentiële entiteit’ in de NIS2-richtlijn en krijgen daardoor te maken met flinke eisen op gebied van een zorgplicht, toezicht en een meldplicht om passende maatregelen te nemen op gebied van cybersecurity. Burgemeester van Lochem Sebastiaan van ’t Erve, die momenteel promotieonderzoek doet naar cybercrisismanagement, stipt enkele verbeterpunten aan voor de komende tijd.
Gemeenten krijgen met NIS2 een grote verantwoordelijkheid en moeten straks onder meer cyberincidenten met aanzienlijke gevolgen melden aan de toezichthouder (RDI) en aan het eigen Computer Security Incident Response Team (CSIRT). Van ’t Erve deed in het verleden als bestuurder de nodige ervaring op met cybersecurity-rampspoed. Hij geeft aan blij te zijn met de duidelijkheid over het vereiste digitale veiligheidsniveau van gemeenten.
Compliance is een verplichting
“Nu gemeenten in de richtlijn zijn aangewezen als essentiële entiteit, betekent het dat compliance een verplichting is geworden. Gemeenten moeten voldoen aan de wet- en regelgeving en dat ook kunnen aantonen. Dat is een trendbreuk met het verleden, waarin de oude BIO (baseline informatiebeveiliging) en een min of meer afgezwakte ISO-norm het streven was.”
Wat Van ‘t Erve in de komende tijd graag zou willen zien is dat ISO-norm 27001 voor gemeenten centraal gesteld wordt als de standaard waaraan voldaan moet worden. “Dus geen eigen ‘overheidstandaard’ meer voor digitale veiligheid (BIO), maar aansluiten bij de internationale standaard ISO 27001. Dat geeft duidelijkheid voor alle partijen, ook bij aanbestedingen.”
Geschikt voor audits
Van ’t Erve ziet accountants bij gemeenten vaak worstelen met de vraag of een gemeente nu wel of niet voldoende heeft gedaan op gebied van cybersecurity. “De ISO-norm kan helpen om een eenduidig antwoord te geven en is geschikt voor audits. Een praktische en gelijkwaardige tool zou een uitkomst kunnen zijn, zonder dat we check box-security moeten nastreven. Het blijft daarbij belangrijk om ook inhoudelijk van elkaar te leren.”
Hij hoopt ook dat er door het ministerie wordt besloten om geen goedkeurende accountantsverklaringen meer af te geven aan overheden die geen geldig ISO 27001-certificaat kunnen aantonen. In zijn ogen is dat ook de beste manier voor accountants is om vast te stellen of de digitale continuïteit van de organisatie is geborgd.
Data-uitwisseling alleen bij compliance
Tot slot voegt Van ‘t Erve nog een derde wens aan toe aan zijn verlanglijstje: geen data-uitwisseling tussen overheden als er niet bij iedere transactie kan worden aangetoond dat beide partijen aan de wet- en regelgeving voor privacy en veiligheid voldoen. Hij ziet daarbij een goed voorbeeld: “Tijdens de coronacrisis heeft het ministerie van Volksgezondheid succesvol een tool ontwikkeld die deze eisen oplegde aan marktpartijen. Aangezien individuele overheden onder NIS2 verantwoordelijk worden gehouden voor compliance, is het ook logisch om te zeggen dat er alleen gegevens worden uitgewisseld met overheden die de compliance óók goed voor elkaar hebben.”
Van ’t Erve hoopt dat er in Den Haag goed geluisterd wordt naar de gemeenten en suggesties voor de uitwerking van NIS2, die enorme impact heeft op het securitybeleid van gemeenten. “Gemeenten wachten nu op wat gaat er in Den Haag nu precies gebeuren. Met name voor duidelijkheid over de praktische uitvoering moet er nog veel geregeld worden. Als die zaken goed uitgewerkt zijn, maakt het de uitvoering voor gemeenten ook makkelijker.”
