Met de invoering NIS2 wordt het toezicht strenger
Met de implementatie van de NIS2 worden de nu al opgelegde beveiligingseisen verder aangescherpt. Ook de de online beveiliging van de hele leveranciersketen krijgt een verbeterslag. “Tegelijk komen er nieuwe rapportageverplichtingen die moeten worden gestroomlijnd. Het toezicht daarop wordt na september 2024 strenger. In sommige gevallen gebeurt dit zelfs proactief en de boetes worden hoger,” zeggen cybersecurity experts Dave Maasland en Bernold Nieuwesteeg.
Maasland spreekt regelmatig op congressen over cybersecurity en cybercrime. Volgens hem kunnen gemeenten al enkele praktische zaken oppakken. Een lokale overheid moet nu al een risicoprofiel opstellen en voor ieder risico hebben uitgewerkt wat daaraan gedaan kan worden en hoe de controle over de situatie kan worden verbeterd. “Met name in België en in de Verenigde Staten zijn voorbeelden van lokale overheden die hard zijn geraakt door cyberaanvallen. Het gaat veelal om ransomware-gevallen, maar ook om bedreigingen van binnenuit. Door de NIS2-maatregelen door te voeren laat je als organisatie zien dat je je bewust bent van deze risico’s, en je toont ook aan hoe je dit mitigeert en controleert.”
Voor lokale overheden is het dus nuttig om alvast de nodige voorbereidingen te treffen voor de komst van NIS2. Maasland: “Het hele proces zo inrichten dat je incidenten in een vroeg stadium kunt signaleren én melden is nu al van grote waarde.” Hij vreest echter dat lokale overheden hier op dit moment nog niet aan toe zijn. “De kennis en kunde ontbreekt vaak, mede vanwege de beperkte capaciteit aan menskracht en vacatures die door de krappe arbeidsmarkt niet vervuld kunnen worden. Daarnaast is het voor lokale overheden belangrijk om met securityleveranciers in gesprek te gaan over hoe zij kijken naar de op handen zijnde verplichtingen om duidelijk te krijgen hoe processen zijn ingeregeld.”
Maasland wijst nadrukkelijk naar het gemeentelijke bestuur, waar besluitvaardigheid onmisbaar is om veranderingen op tijd in gang te zetten. “Ik vraag me eerlijke gezegd af of het onderwerp genoeg leeft in de gemeentelijke top.” En nogmaals, de tijd dringt. “Bij overheden wordt vaak met sprints van enkele maanden gewerkt waarin een (deel van een) project wordt opgeleverd. Op dit moment duurt het nog zo’n 16 maanden voordat NIS2 in werking treedt. Wanneer je dit vertaald naar vier tot vijf sprints wordt duidelijk dat die deadline wel erg dichtbij komt.”
Boetes kunnen torenhoog zijn
Een element van NIS2 waar lokale overheden op bedacht moeten zijn, is de introductie van bestuurlijke boetes wanneer er herhaaldelijk niet aan wet- en regelgeving wordt voldaan.
Bernold Nieuwesteeg, lid van de adviesraad van het Centre for the Law and Economics of Cyber Security (CLECS) aan de Erasmus Universiteit Rotterdam, waarschuwt met name voor de verantwoordelijkheid van lokale overheden voor toeleveranciers die ook aan verplichtingen moeten voldoen. Volgens Nieuwesteeg kan op papier de veiligheid gewaarborgd zijn, terwijl dat in de praktijk tegenvalt omdat er geen volledig zicht is op alle betrokken organisaties en leveranciers in de keten. “De Rijksinspectie Digitale Infrastructuur (RDI) kan hoge boetes uitdelen die kunnen oplopen tot 2 procent van de jaaromzet”, geeft Nieuwesteeg aan.
Schorsing van bestuurders is eveneens een mogelijke optie. Ook Nieuwesteeg constateert dat gemeenten een hoop huiswerk te doen hebben voor de komst van NIS2. “Op het moment dat de wetgeving bekend wordt gemaakt moet je er in mijn ogen eigenlijk al aan voldoen. Je wilt als gemeentelijke organisatie de veiligheid van burgers op een zo hoog mogelijk niveau waarborgen. Wat ik mis is een toezichthouder die nu al duidelijkheid biedt over hoe je kunt voldoen aan de eisen van NIS2. De VNG heeft het een en ander gedeeld aan informatie, maar dat is wat mij betreft nog niet concreet genoeg.”
25 oktober: iBestuur Event Security & Overheid 2023
Op 25 oktober a.s. organiseert iBestuur voor de tweede maal het event Security & Overheid. De dag staat geheel in het teken van de invoering van NIS2. Ook Bernold Nieuwesteeg is hier bij aanwezig. Samen met Europarlementariër Bart Grotenhuis onderzoekt hij nut en noodzaak van deze wet.
Lezenswaardig artikel, met één kanttekening: niet alleen hier wordt “gewaarschuwd” om niet te zeggen gedreigd met hoge boetes, maar de echte zorg zou moeten uitgaan naar de schade en de ellende die wordt veroorzaakt als je de zaken niet goed voor elkaar hebt. Door de boetes voorop te stellen, dreigt de waarde – waarom je iets doet – naar de achtergrond te verdwijnen.