Cybersecurityregelgeving uitdaging voor gemeenten

De overheid heeft recent vastgesteld dat gemeenten ook als essentiële entiteit worden gezien en moeten voldoen aan cybersecurityregelgeving NIS2, die volgend jaar oktober ingaat. CEO Arwi van der Sluijs van NFIR ziet hierin een grote rol weggelegd voor de Vereniging Nederlandse Gemeenten (VNG).
De VNG kan ervoor zorgen dat NIS2 landelijk wordt ingevoerd in plaats van per gemeente. Dat stelde Van der Sluijs onlangs tijdens zijn keynote over cloudsecurity bij het Cloud Symposium in Enschede. “Het zou een ramp zijn als ruim 340 gemeenten ieder voor zich NIS2 gaan invullen.”
Niet allemaal opnieuw het wiel uitvinden
Volgens de cybersecurityspecialist is het goed dat er nu helderheid is over het feit dat alle gemeentes een essentiële entiteit zijn geworden voor NIS2, een EU-brede wetgeving over informatiebeveiliging. Gemeenten moeten daarbij niet neigen naar afzonderlijke taken omtrent cybersecurity, maar moeten volgens hem erkennen dat het een gedeelde uitdaging is. “Alle gemeenten moeten aan NIS2 geloven, groot en klein. Je kunt dan beter samenwerken, dan allemaal opnieuw het wiel uitvinden.”
Gebreken in beleid
Van der Sluijs benoemde tijdens het evenement de gebreken in het huidige beleid omtrent cybersecurity. “Gemeenten moeten niet afwachten tot er meer duidelijkheid is, maar alvast aan de slag gaan met de kaders die al wel bekend zijn. Het beleid moet daarbij uniform zijn, ongeacht de gemeente. Wellicht zijn er budgettaire beperkingen, waardoor het verstandig is gezamenlijk actie te ondernemen. Ik zie hier een grote rol weggelegd voor de VNG.”
NIS2-richtlijnen
De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn breidt het aantal sectoren waarop de richtlijn van toepassing is uit van zeven naar zeventien. Een van de nieuwe sectoren zijn overheidsdiensten.