NIS2: De lokale overheid moet flinke stappen zetten
Een van de sectoren die flinke stappen zal moeten zetten is de lokale overheid. Volgens Andries Kok, directeur Lokaal Bestuur en Informatiesamenleving bij Vereniging Nederlandse Gemeenten, heeft NIS2 belangrijke implicaties voor gemeenten als het gaat om zorgplicht, meldplicht, toezicht en mogelijke sancties op informatiebeveiliging.
“In tegenstelling tot de oorspronkelijke richtlijn uit 2016 vallen lokale overheidsinstanties en dus ook gemeenten straks onder NIS2.” Dat vergt volgens Andries Kok nauwe samenwerking tussen en met verschillende ministeries, zoals Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijksrelaties, en met meerdere vakministers, bijvoorbeeld bij Infrastructuur en Waterstaat en Volksgezondheid, Welzijn en Sport. “Maar een aantal zaken is nog niet helder; dat brengt de VNG onder de aandacht bij de verantwoordelijke bewindspersonen.”
Processen zijn in Nederland veelal lokaal georganiseerd
De vragen die de VNG heeft hebben volgens Kok te maken met de toepasbaarheid van de richtlijn op Nederlandse gemeenten en hoe dit zich verhoudt tot bestaande richtlijnen zoals de Baseline Informatiebeveiliging Overheid (BIO), Eenduidige Normatiek Single Information Audit (ENSIA) en de Informatiebeveiligingsdienst (VNG/IBD) voor gemeenten. “Daarnaast werken de vakministeries voor NIS2 nadere regelgeving uit, bijvoorbeeld ten aanzien van verkeer, weg- en waterbeheer en de zorgsector. Dit zijn processen die in de EU-Directive met name zijn genoemd, maar in Nederland zijn die lokaal georganiseerd.”
Nog niet duidelijk wat de scope wordt
Kok geeft aan dat bij deze regelgeving nog niet duidelijk is wat de exacte scope wordt. “En dus ook niet wat de impact op gemeenten zal zijn. Maar er staan wel sancties op inbreuken op de richtlijn. Op welke wijze die sancties uitvallen voor het lokaal bestuur is ook nog niet nader uitgewerkt.” Kok denkt wel dat de normen uit de bestaande BIO naar alle waarschijnlijkheid wettelijk verplicht zullen worden. Ook komt er een wettelijke meldplicht voor incidenten op informatiebeveiliging.
Uitvoerbare regelgeving
Op de vraag of de VNG bezorgd is over de tijdsdruk die gepaard gaat met de invoering van de wet, meldt Kok dat er tussen nu en 2026 maar liefst 13 regelgevende initiatieven op gebied van digitalisering en cybersecurity aankomen. “De wetten moeten in samenhang worden bekeken, niet afzonderlijk. De NIS2 gaat in per 17 oktober 2024. De afstemming tussen de verschillende ministeries is hierbij cruciaal en we beseffen dat dit een ingewikkelde operatie is. Hoe langer het duurt om tot een nationale doorvertaling te komen, hoe hoger de tijddruk voor de feitelijke implementatie voor alle betrokken partijen.”
De VNG doet er volgens Kok alles aan om het gemeenten zo makkelijk mogelijk te maken wat betreft duidelijkheid over de scope, de verdeling van verantwoordelijkheden en geharmoniseerd toezicht. Ook zet de VNG in op vermindering van de auditlast en een haalbare en uitvoerbare regelgeving voor lokale overheden. “Het is cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO. Gemeenten hebben nu een verplichtende zelfregulering ten aanzien van de zorgplicht (BIO), afspraken over een meldplicht bij de sectorale CERT/CSIRT IBD en het toezichtstelsel ENSIA. De impact per gemeente zal afhankelijk zijn van de mate waarin nu al gedocumenteerd voldaan wordt aan de BIO.”
25 oktober a.s: Security & Overheid 2023
Op 25 oktober a.s. organiseert iBestuur voor de tweede maal het event Security & Overheid. De dag staat geheel in het teken van de invoering van NIS2. Ook Hans de Vries is erbij aanwezig. Hij zal ingaan op de NL Cyber Strategie en op de impact die NIS2 zal hebben. Ook kijkt hij wat verder vooruit naar de opmaat voor het ‘nieuwe NCSC’, als NCSC, DTC en CSIRT-DSP samen zijn gegaan.