Omgaan met nieuwe wetgeving werkt beter in samenspel
Ook wat betreft de implicaties van de Digital Decade en de bijbehorende regelgeving is het goed dat gemeenten en leveranciers vriendschappelijk aan tafel te zitten. De uitbreidende wet- en regelgeving rondom digitalisering heeft namelijk gevolgen voor bieden. Markt en overheid leerden op een bijeenkomst in de Observant in Amersfoort hoe zij hun relatie beter bestand kunnen maken tegen de NIS2, BIO2, Cwb, Cw en de wetgeving van de Digital Decade in het algemeen.
Comply or die, dat waren de woorden die iedereen ging onthouden van de presentatie van Jonas Onland van de VNG over de Digital Decade. Met dit programma wil de Europese Commissie (EC) de digitale transformatie in Europa sturen naar Europese waarden. Het doel is dat mensen en bedrijven baat hebben bij de technologische ontwikkelingen, omdat die bijdragen aan een duurzamer en welvarender toekomst. ‘De mens en de natuur in het hart van de digitale transformatie’, aldus Onland, die bij de VNG werkt als programmaleider digitale transformatie en Europa.
Anabolen-AVG
Het sturingsinstrument van de EC is wet- en regelgeving en in een aantal jaren vaardigt de commissie een groot aantal wetten uit rondom digitale zaken. Onder andere de AVG, de Cybersecurity Act en de NIS2 zijn al van kracht, maar er komen nog wat klappers aan. Zo noemde Onland de aanstaande AI Act “de AVG op steroïden”. Oftewel: een wet met power. Met al deze wet- en regelgeving wil ‘Europa’ grote techbedrijven en platformen overtuigen hun technologie humaner en ethischer in te richten. Comply or die: volg onze wetten en richtlijnen of vertrek. En met 300 miljoen inwoners heeft de Europese gemeenschap best wat slagkracht op de mondiale markt.
Missie mens op de maan
Met impactanalyses onderzoekt de VNG de gevolgen voor de uitvoering bij gemeenten. Dat doet ze in zeven clusters, vanwege de samenhang tussen de in totaal 34 wetten. Onland legde uit dat de digitale transformatie meer is dan security of privacy. ‘We moeten naar een systemische verandering. We moeten missiegedreven gaan werken. Alles wat we doen moet bijdragen om die missie een realiteit te maken.’ Als voorbeeld gaf hij het Amerikaanse motto”‘man op de maan van medio vorige eeuw. Duizenden kleine en grote project en programma’s droegen bij aan dat ene doel: om binnen 10 jaar een man op de maan te krijgen. Eenvoudig geformuleerd, met een duidelijk beeld dat makkelijk te onthouden was. En in de weg naar dat doel bloeide compleet nieuwe industrieën op, waaronder ruimtevaart en ict.
Missie Europa
Wat is dan de missie van Europa? Dat zijn er meerdere. Onland adviseert de ‘state of the union’ te lezen van Ursual von der Leyen, de politieke richtlijnen voor de Europese Commissie. “Daarin staat de richting beschreven waarin Europa beweegt: een digitaal vaardige populatie, een digitale infrastructuur, een digitaal gezond MKB en digitalisering van openbare van diensten. Dit is waar we aan werken.” En hoewel Europa steeds verder weg lijkt voor Nederland, zijn we toch echt onderdeel van dat geheel. Onland: “In sommige digitale zaken zijn we heel ver, in andere niet. Een van de wetgevingsclusters gaat om urban air mobility. Met een drone boven een stad vliegen is al een jaar toegestaan, maar geen enkele gemeente heeft een afdeling die hierover gaat.”
Interesse in meewerken aan de digitale transformatie van 300 miljoen Europeanen?
Ga naar living-in.EU
Begin alvast
Spreker Harro Spanninga van adviesbureau Berenschot vroeg het publiek of zij door alle digitale wetgevingsbomen het bos nog zagen. De helft zei van wel en Spanninga was daarvan onder de indruk. Hij liet vervolgens het Berenschot-beeld zien van de digital decade: een opkomende zon. De wetten vallen daar in vier categorieën: privacy & security, data & AI, transparantie & verantwoording, digitale dienstverlening. Het advies van Berenschot is niet te lang te wachten met de voorbereiding op de digitale decade, die al een aantal jaren gaande is. “Ga nu al vast aan de slag met wat toch moet gebeuren, zoals een publicatieplatform voor de Woo. Wacht niet tot je alles in samenhang kunt beschouwen.”
Alles by design, nu
Spanninga’s tweede vraag aan de aanwezigen was of de eisen uit de digital decade uitgangspunt zijn voor de inrichting van de informatievoorziening. De Information Security Officer (ISO) van de gemeente Hilversum antwoordde ja, voor zover ze onderdeel zijn van de BIO en de privacy-eisen. Zij zei: ‘We moeten keuzes maken, we hebben als gemeente niet genoeg mensen om alles te doen wat de wetten van ons vragen.’ Berenschot adviseert in te zetten op architectuur voor de lange termijn. Ga niet achteraf voldoen aan de eisen. Zet nu al in op by design in archivering, security, openbaarheid, hergebruik en privacy.
Strategische IV-functie
Hadden de aanwezigen voldoende kennis en kunde in huis om de digital decade in goede banen te leiden? Een deelnemer antwoordde: ‘Het hangt van inhuur aan elkaar’. Een leverancier aan organisaties in zorg en finance vond het echt zwaar om bij te blijven qua kennis. Spanninga zei dat dagelijks beheer en onderhoud vaak nog te veel tijd en aandacht opslokken. ‘Versterk daarom het strategisch vermogen van de IV-functie. Benut de kracht van de markt en/of samenwerkingsverbanden.’ Onland vulde aan dat een versimpeling van het architectuurlandschap van gemeenten hier kan helpen, maar dat vraagt om kennis van en communicatie met inkoop en markt. Spanninga beaamde: ‘Gemeenten zullen keuzen moeten maken en richting geven aan de markt.’
Directeur digitaal domein
De laatste stelling was: de verantwoordelijkheid voor de digitale decade is duidelijk en bestuurlijk verankerd. Daarop bleef het stil in de zaal. Eén persoon zei dat in hun organisatie de digital decade wordt gezien als bedrijfsvoering en niet als een maatschappelijke opgave. Kon de VNG daar niet helpen? Onland zei dat de VNG wel de drang heeft om ‘de collectivisering en standaardisering te versnellen’ maar gemeenten niets kan opleggen. Berenschot ziet baat bij een directeur digitaal domein, zoals die er al vaak is voor het sociale en het fysieke domein. Spanninga: ‘Beleg de verantwoordelijkheid over digitale informatiewetten duidelijk in de organisatie.’
BIO2 en NIS2
Haaino Beljaars, senior security consultant bij PQR, ging dieper in op de BIO2, de vertaling van de NIS2-richtlijn voor overheidsorganisaties. Deze wetgeving raakt zeker 14 onderwerpen in iedere organisatie. Onder andere effectiviteit van beheersmaatregelen, toeleveranciersketen, back-upbeheer, beveiliging van netwerk- en informatiesystemen en beheer van assets, Beljaars mag bestuurders graag vragen of ze alle termen kennen en wat ze daarvoor geregeld hebben.
Geen bestuurlijke boetes
De bestuurlijke verantwoordelijkheid voor de BIO2 (NIS2) komt zeer waarschijnlijk bij de gemeentesecretaris te liggen en niet bij de burgemeester. ‘Gemeentebestuurders zullen geen boetes krijgen en worden niet uit hun functie ontheven’, zei Beljaars. Hij vond dat een gemiste kans. Een ISO reageerde dat we al Nederland gemeenten niet willen opzadelen met enorme boetes. ‘Die moeten we als burgers uiteindelijk zelf betalen. Een brief van het ministerie om het werk beter te doen wordt wel degelijk als een urgentie gevoeld.’
Gezamenlijke toekomst
Conform de BIO2, krijgen gemeenten een controlerende taak op de leveranciers informatiebeveiliging. ‘Want als die platgaat, gaat uw gemeente plat.’ Beljaars’ advies was om de relatie met de leveranciers als gemeente heel actief te managen, vanuit het contract maar ook vanuit de relatie. ‘Formuleer bijvoorbeeld samen met de leverancier een toekomstvisie, meetbare afspraken, maar ook een exit-strategie. Zodat jullie fatsoenlijk uit elkaar kunnen als dat nodig is.’ Een deelnemer zei dat haar organisatie daarover geen afspraken heeft met kritieke leveranciers. ‘Als hun omgeving eruit ligt, kost ons dat heel veel geld.’ Beljaars antwoordde: ‘U heeft dus impliciet een keuze gemaakt om daar niet in te investeren. Maak die keuze expliciet en handel ernaar.’
Cyberwetten
Laatste spreker was Nikki Nguyen van de VNG. Haar domein is EU wet- en regelgeving informatiebeveiliging. Zij zit vaak aan tafel bij BZK om te lobbyen voor uitvoerbare wetgeving voor gemeenten. Dit is dezelfde lobby die ervoor heeft gezorgd dat gemeentebestuurders niet hoofdelijk aansprakelijk zijn onder de BIO2.
Cyberbeveiligingswet
Nguyen sprak als eerste over de Cyberbeveiligingswet (Cbw), zoals de implementatiewet van de NIS2 gaat heten in Nederland. De Cbw raakt aan de beveiliging van de eigen netwerk- en informatiesystemen. Ter uitwerking van de Cbw worden nadere regels vastgesteld in de Algemene Maatregelen van Bestuur (AMvB), die voor alle sectoren gelden. Bestuurders zijn verplicht iedere twee jaar een training over informatiebeveiliging te volgen. Voor gemeenten betekent dit dat het college van burgemeester en wethouders niet alleen de beheersmaatregelen moet goedkeuren, maar ook de training moet ondergaan om hun wettelijke taken uit de Cbw correct te kunnen uitvoeren. Tijdens deze training krijgen zij globale kennis over de Cbw en informatiebeveiliging, naast basiskennis over aanvalstechnieken, risicomanagement en andere relevante onderwerpen.
Toezichthouder RDI
Volgens de huidige stand van zaken treden de Cbw en AMvB in september 2025 in werking. Het advies van Nguyen voor de overheid en andere sectoren die onder deze wet vallen: ‘Zorg dat je goed kunt uitleggen en motiveren waarom je iets doet.’ De Rijksinspectie digitale infrastructuur (RDI) wordt toezichthouder en is al begonnen aan de voorbereiding op haar taak. Dat moet ook wel, want met de Cbw groeit haar toezichtstaak met 4483%.
Cyberweerbaarheidswet
De Cyberweerbaarheidswet is de Nederlandse vertaling van de Cyber Resilience Act. Die gaat over de beveiliging van hardware en software op de EU-Markt, van planning en ontwerp tot en met de ondersteuning gedurende de levenscyclus van het product met digitale elementen. De wet bevat verplichtingen voor fabrikanten en leveranciers die de beveiliging in de hele keten moet verbeteren. Denk aan instructies en updates voor eindgebruikers, maar ook het voldoen aan cyberbeveiligingseisen, een ondersteuningsperiode van minimaal 5 jaar en rapportageverplichtingen rondom kwetsbaarheden.
Risicogesprekken
Nguyen vroeg wat gemeenten en marktpartijen van elkaar nodig hebben om veiligheid te waarborgen. ‘Wie van de gemeente plant regelmatig overleg in met leveranciers om te praten over risicomanagement?’ Een weifelende hand hier en daar, maar gesprekken gaan meestal ergens anders over. De kwaliteit van de dienstverlening bijvoorbeeld, prestaties, en de balans tussen halen en brengen. Bij sommige gemeenten gebeurde dit op C-niveau. In het IV-domein gingen gesprekken dan over overnames, technische ontwikkelingen, bewegingen in de markt. Een leverancier gaf toe dat niemand zit te wachten op ongemakkelijke gesprekken. Beljaars zei: ‘Dan heb je een oppervlakkige relatie. Je moet meer vertrouwen hebben in elkaar. Nu weten jullie wat er op je af komt, kun je erover beginnen.’
Het gemeentelijk i-Café is een initiatief van het kenniscentrum Markt en Overheid van de VNG.
Kijk hier voor de agenda voor 2025.
Denk mee over eIDAS 2.0
In januari 2025 start VNG met het wetgevingscluster eIDAS 2.0 (de EU-wallet). VNG roept gemeenten op om zich aan te melden voor een van de expertgroepen. Hierin buigen deskundigen van gemeenten zich over de uitvoerbaarheid en impact van de wet- en regelgeving. Iedere groep bekijkt per wetgevingscluster wat de mogelijke uitvoerbaarheid is van de voorgestelde wet- en regelgeving, wat de impact zal zijn en welke randvoorwaarden in Nederlandse wetgeving opgenomen moet worden.
- Aanmelden doet u via dit aanmeldformulier.
- Klik hier voor meer informatie over de expertgroepen en de wetgevingsclusters
