Rijk frustreert gemeenten met gebrek over duidelijkheid over NIS2
Gemeenten zijn zeer ongerust over nieuwe Europese cybersecurity-wetgeving NIS2 die in 2024 van kracht wordt. De Rijksoverheid geeft namelijk geen duidelijkheid over de exacte eisen, zo klinkt de kritiek. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten blijkt dat slechts een handjevol concrete stappen maakt om zich voor te bereiden.
Momenteel geldt in Europa de Europese cybersecuritywet NIS1, die eisen stelt waar netwerk- en informatiesystemen aan moeten voldoen. Deze beveiligingseisen gelden nu alleen voor zo’n 300 essentiële organisaties, bijvoorbeeld in de gezondheidszorg en waterbedrijven. Met de inwerkingtreding van NIS2 per oktober 2024 worden straks zo’n 8.000 organisaties als een essentiële organisatie aangewezen, waaronder ook gemeenten. Wie niet aan de strengere cybersecurity-eisen voldoet, riskeert een bestuurlijke boete. Deze kunnen oplopen tot 10 miljoen euro of bij bedrijven tot 2 procent van de totale jaaromzet.
Overheden hebben nog een jaar de tijd
Overheden hebben nu dus nog iets meer dan een jaar tijd om aan de nieuwe IT-beveiligingseisen te voldoen. Daaronder vallen ingrijpende zaken als het in kaart hebben welke toeleveranciers er zijn, voor welke vitale processen gemeenten zelf verantwoordelijk zijn en het verbeteren van de security van die processen. Er lijkt nog een hoop werk te liggen. Slechts 5 van de 80 gemeenten geven slechts vijf gemeenten (6%) aan dat zij momenteel hun toeleveranciers in kaart hebben gebracht, 6 gemeenten (7%) kunnen aangeven dat ze de vitale processen in kaart hebben binnen hun organisatie.
Europese afspraken nog niet zijn vertaald naar Nederlandse wetgeving
Wat vooral overheerst in de antwoorden is dat gemeenten niet helder hebben wát ze moeten doen. Maar liefst 70 van de 80 gemeenten (88%) geeft aan dat het nog altijd onduidelijk is welke investeringen zij precies moeten doen. De oorzaak hiervoor is dat de Europese afspraken nog niet zijn vertaald naar Nederlandse wetgeving. Ook weet deze grote groep gemeenten niet hoe lang ze precies nodig hebben om aan de eisen te voldoen.
Een kleine groep, 10 van de 80 gemeenten, heeft dit (deels) al wél duidelijk. Zij geven onder meer aan dat er budget nodig is om meer inzicht te verwerven in welke cybersecuritymaatregelen nodig zijn voor bijvoorbeeld wegbeheer, afvalwater en afvalstoffenbeheer.
Enkele van deze tien gemeenten geven aan dat het beveiligingsbewustzijn van de hele organisatie verder versterkt moet worden. Er moeten opleidingen worden gevolgd, experts worden ingehuurd en er moeten gesprekken worden gevoerd worden met leveranciers. Ook zal er veel meer toetsing nodig zijn voor de genomen maatregelen op cybersecuritygebied.
De basis niet op orde
Er is weinig vertrouwen in een goede afloop. Slechts drie gemeenten (4%) durven het aan om volmondig ‘ja’ te antwoorden op de vraag of zij op tijd aan de wetgeving gaan voldoen. Daarnaast wordt ook duidelijk dat sommige gemeenten nog hun handen vol hebben om te voldoen aan de huidige bestaande eisen uit de Baseline Informatieveiligheid Overheid (BIO), die ook onderdeel zijn van de NIS2.
Onder meer de gemeente Groningen is nog druk met het ‘op orde brengen van de basis’, schrijft de gemeente in een reactie. “Onder andere op gebied van technologie, personeel, training, beveiliging van informatiesystemen, identificatie en beheersing van risico’s. Maar ook op het vlak van het opstellen en implementeren van beleid en procedures op het gebied van informatiebeveiliging en privacy.”
Snelle implementatie niet reëel
De Europese Unie gaat volgens Groningen uit van zeer snelle implementatie van de nieuwe eisen. “Gezien de snelheid van Nederlandse overheden en gemeenten in het algemeen met de implementatie van de volledige BIO is niet te verwachten dat volledige compliance met NIS2 voor die datum reëel is.”
Een zestal gemeenten kan al wel aangeven dat er stappen zijn gezet specifiek voor NIS2, zoals de gemeente Sudwest Fryslân. Die heeft in jaarplannen al vastgelegd wat er in grote lijnen moet gebeuren voor NIS2, waaronder scholing van ambtenaren. De gemeente Lopik wil in elk geval na de zomer in gesprek gaan met leveranciers over de nieuwe eisen. De gemeente Nieuwegein heeft inmiddels sleutelfuncties, -processen en -technieken in kaart gebracht en een scenario-analyse uitgevoerd van de belangrijkste risico’s. “We creëren bewustzijn over het belang en de urgentie van NIS2 in onze organisatie, in het bijzonder bij management, directie en bestuur. “
Bezorgde burgemeesters
De zorgen vanuit de gemeentewereld klinken de laatste weken steeds luider. Het cyberburgemeestersoverleg, bestaand uit een groep burgemeesters die op persoonlijke titel cyberzaken bespreken, uitte deze zorgen onlangs voor het eerst. De Rijksoverheid kondigde een consultatieperiode aan voor de zomer van 2023, maar door uitblijven van Nederlandse ‘vertaling’ van de EU-wet valt er voor gemeenten nog altijd niets te consulteren.
“De Rijksoverheid moet keuzes maken die een enorme impact kunnen hebben op de implementatie van NIS2. Zolang we niet weten wat de omzetting van de richtlijn naar nationale wetgeving behelst, kunnen wij ons niet voorbereiden. Er moet heel snel duidelijkheid komen”, aldus de cyberburgemeesters bij Binnenlands Bestuur.
Duidelijkheid is nodig, want de onrust onder CISO’s is inmiddels groot. De vraag is of NIS2 zich straks alleen richt op de kritische processen binnen de gemeenten, of op de algehele dienstverlening inclusief alle ketenpartners. “We willen helder hebben wát er gaat gebeuren en of het proportioneel is,’ zegt burgemeester Rian van Dam van Hollands Kroon in het magazine. “Dit heeft ook consequenties voor bestuurlijke verantwoordelijkheid. Je kunt de gemeenten niet zo laten bungelen als nu gebeurt.” Beeld: Gemeente Hollandse Kroon
De grote nachtmerrie van CISO Frans Hut, werkzaam bij de gemeente Haarlem en sprekend namens de beroepsgroep, is dat iedere melding van een losse stoeptegel, die onderdeel is van een weg en daarmee vitale infrastructuur, straks volledig onder NIS2 valt. “Ik hoop niet dat we een heel intensief verantwoordingsmechanisme krijgen, waardoor beveiligers minder tijd overhouden voor het daadwerkelijke beveiligen.”
NIS2 op de agenda jaarcongres VNG
NIS2 staat met rood omcirkeld in de agenda bij de Vereniging Nederlandse Gemeenten (VNG), zo blijkt na navraag aan Andries Kok van VNG. Op 14 juni stemmen gemeenten tijdens het VNG-congres over een motie waarin gevraagd wordt om actie vanuit het Rijk. “Een aantal zaken zijn nog niet helder. Die onderdelen die nog niet duidelijk zijn, brengt de VNG onder de aandacht bij de verantwoordelijke bewindspersonen”, aldus de directeur Lokaal Bestuur en Informatiesamenleving.
Op de vraag of VNG bezorgd is over de tijdsdruk die gepaard gaat met de invoering van de wet, meldt Kok dat tussen nu en 2026 er maar liefst 13 regelgevende initiatieven op gebied van digitalisering en cybersecurity aankomen. “De wetten moeten in samenhang worden bekeken, niet afzonderlijk. De NIS2 gaat in per 17 oktober 2024. De afstemming tussen de verschillende ministeries is hierbij cruciaal en we beseffen dat dit een ingewikkelde operatie is. Hoe langer het duurt om tot een nationale doorvertaling te komen, hoe hoger de tijddruk voor de feitelijke implementatie voor alle betrokken partijen.”
Regels moeten uitvoerbaar zijn
VNG doet er volgens Kok alles aan om het gemeenten zo makkelijk mogelijk te maken wat betreft duidelijkheid over de scope, de verdeling van verantwoordelijkheden en geharmoniseerd toezicht. Ook gaat VNG voor vermindering van de auditlast plus een haalbare en uitvoerbare regelgeving voor lokale overheden.
Diverse experts, waaronder security-expert Dave Maasland, roepen bestuurders op om niet langer te wachten met reageren op NIS2. “De omvang en de impact van deze wet zijn potentieel enorm. En dat geldt ook voor andere bedrijven.” Maasland schetst enkele praktische zaken die overheden nu al kunnen oppakken.
Hij stelt dat een risico-gebaseerde aanpak noodzakelijk is bij de implementatie van NIS2. Een lokale overheid moet nu al een risicoprofiel opstellen en voor ieder risico hebben uitgewerkt wat er gedaan kan worden en hoe de controle over de situatie kan worden verbeterd. “Het hele proces ingericht hebben om incidenten in een vroeg stadium te kunnen signaleren en melden is nu al van grote waarde.” Hij vreest echter dat lokale overheden hier op dit moment nog niet aan toe zijn. Beeld: Dave Maasland
Kennis en kunde ontbreken
“De kennis en kunde ontbreekt vaak, mede vanwege de kleine afdelingen en openstaande vacatures. Het is voor lokale overheden daarnaast in elk geval belangrijk om met securityleveranciers in gesprek te gaan over hoe zij kijken naar de op handen zijnde verplichtingen, om zo duidelijk te hebben hoe processen zijn ingeregeld.” Hij wijst tot slot naar het gemeentelijke bestuur, waar besluitvaardigheid onmisbaar is om veranderingen op tijd in gang te zetten. “Ik vraag me af of het onderwerp genoeg leeft in de gemeentelijke top.”
Volgens Maasland kunnen gemeenten echt niet te lang wachten met maatregelen nemen. “Bij overheden wordt tegenwoordig vaak met ‘sprints’ gewerkt van enkele maanden waarin teams iets proberen te realiseren. Op dit moment hebben gemeenten nog zo’n 15 maanden, maar wanneer je dit vertaalt naar 4 tot 5 sprints wordt duidelijk dat die deadline wel erg dichtbij komt.”
Boetes kunnen torenhoog zijn
Een nieuw element van NIS2 waar lokale overheden ook op bedacht op moeten zijn, is de introductie van bestuurlijke boetes bij gevallen wanneer er herhaaldelijk niet aan wet- en regelgeving wordt voldaan. Cybersecurity-expert Bernold Nieuwesteeg waarschuwt met name voor de verantwoordelijkheid die lokale overheden hebben over toeleveranciers, die ook aan verplichtingen moeten voldoen. Volgens Nieuwesteeg kan op papier de veiligheid helemaal gewaarborgd zijn, maar in de praktijk valt dit soms alsnog tegen omdat er geen volledig zicht is op alle betrokken organisaties en leveranciers in de keten.
“De Rijksinspectie Digitale Infrastructuur (RDI), kan wel hoge boetes uitdelen die soms kunnen oplopen tot 2% van de jaaromzet”, geeft Nieuwesteeg aan. Verder benoemt hij de mogelijkheden tot schorsing van bestuurders als een mogelijke optie. Ook Nieuwesteeg constateert dat gemeenten een hoop huiswerk te doen hebben voor de komst van NIS2. “Op het moment dat de wetgeving bekend wordt gemaakt, moet je er in mijn ogen eigenlijk al aan voldoen. Je wil als gemeentelijke organisatie de veiligheid van burgers op zo’n hoog mogelijk niveau waarborgen. Wat ik mis is een toezichthouder die nu al duidelijkheid biedt over hoe je kan voldoen aan de eisen van NIS2. De VNG heeft het een en ander gedeeld aan informatie, maar het is in mijn ogen nog niet concreet genoeg.”
“De Rijksinspectie Digitale Infrastructuur (RDI), kan wel hoge boetes uitdelen die soms kunnen oplopen tot 2% van de jaaromzet”, geeft Nieuwesteeg aan. Verder benoemt hij de mogelijkheden tot schorsing van bestuurders als een mogelijke optie. Ook Nieuwesteeg constateert dat gemeenten een hoop huiswerk te doen hebben voor de komst van NIS2. “Op het moment dat de wetgeving bekend wordt gemaakt, moet je er in mijn ogen eigenlijk al aan voldoen. Je wil als gemeentelijke organisatie de veiligheid van burgers op zo’n hoog mogelijk niveau waarborgen. Wat ik mis is een toezichthouder die nu al duidelijkheid biedt over hoe je kan voldoen aan de eisen van NIS2. De VNG heeft het een en ander gedeeld aan informatie, maar het is in mijn ogen nog niet concreet genoeg.” Beeld: Erasmus Universiteit
Het is begrijpelijk dat gemeenten zich zorgen maken over de nieuwe Europese cybersecurity-wetgeving NIS2 die in 2024 van kracht wordt. Uit het onderzoek blijkt dat er nog veel onduidelijkheid heerst over de exacte eisen en dat de Rijksoverheid nog geen helderheid heeft gegeven over de vertaling van de Europese afspraken naar Nederlandse wetgeving. Dit gebrek aan duidelijkheid bemoeilijkt de voorbereidingen van gemeenten op de nieuwe wetgeving.
De bezorgdheid onder gemeenten wordt steeds groter, en er zijn zorgen over de haalbaarheid en proportionaliteit van de wetgeving. Sommige gemeenten hebben al aangegeven dat er budget nodig is voor het verbeteren van de cybersecuritymaatregelen en het versterken van het beveiligingsbewustzijn binnen de organisatie. Er is echter weinig vertrouwen dat alle gemeenten op tijd aan de wetgeving zullen voldoen.
De Vereniging Nederlandse Gemeenten (VNG) heeft de zorgen van gemeenten op de agenda staan en zal actie ondernemen richting de verantwoordelijke bewindspersonen. VNG streeft naar duidelijkheid over de scope en verantwoordelijkheden, verminderde auditlast en haalbare regelgeving voor lokale overheden.
Experts benadrukken dat gemeenten niet te lang moeten wachten met het nemen van maatregelen en het opstellen van een risicoprofiel. De implementatie van NIS2 vereist een risico-gebaseerde aanpak en goede samenwerking met securityleveranciers. Er wordt gewaarschuwd voor bestuurlijke boetes en de verantwoordelijkheid ten aanzien van toeleveranciers en ketenpartners.
Het is belangrijk dat gemeenten zich bewust zijn van de urgentie en de omvang van de nieuwe wetgeving en tijdig de nodige maatregelen nemen. Het ontbreken van heldere richtlijnen en toezicht bemoeilijkt echter de voorbereidingen en zorgt voor onzekerheid bij gemeenten. Het is essentieel dat je start met de juiste voorbereidingen. Het is gewoon buitengewoon lastige materie. Maar ik heb destijds een volledige elearning cursus geschreven dus weet waarover ik praat vanuit diverse stakeholder perspectieven.