In een brief aan de minister van J&V en de staatssecretaris van Digitalisering deelt de VNG haar feedback op de Algemene Maatregelen van Bestuur (AMvB) behorende bij de Cyberbeveiligingswet (Cbw), de nationale vertaling van de NIS2-richtlijn, en de Wet weerbaarheid kritieke entiteiten (Wwke).
Lees de volledige brief (pdf, 406 kB)
Om gemeenten en andere medeoverheden goed voor te bereiden op de invoering van de Cbw en Wwke en de impact op hun organisatie helder te krijgen, vraagt de VNG de minister om verduidelijking op enkele specifieke punten.
Onze aandachtspunten gaan over de zorgplicht, training, governance en de meldplicht:
Risicogebaseerde informatiebeveiliging vereist risicogebaseerd toezicht.
Toezicht moet specifiek, meetbaar, acceptabel, realistisch en tijdgebonden zijn.
Gemeenten kampen met personeels- en financiële uitdagingen; het Rijk biedt ondersteuning.
De Uitvoerbaarheidstoets Decentrale Overheden moet de implementatiekosten van de Cbw inzichtelijk maken.
Het Cyberbeveiligingsbesluit (Cbb) bepaalt wanneer een trainer gekwalificeerd is.
Gemeenten kunnen zelf de training organiseren.
CIO Rijk ontwikkelt een trainingssyllabus met input van medeoverheden.
De Cbw behoudt de bestaande aansprakelijkheidsregels voor overheidsinstanties.
Criteria voor significante incidenten en verstoringen volgen het primaire doel van de NIS2 en CER-richtlijn zonder overbelasting bij de entiteiten.
Proportionele drempelwaarden voor meldplicht worden in de ministeriële regeling vastgesteld.
De impact bepaalt of een incident meldingswaardig is.
Gemeenten krijgen voldoende tijd voor implementatie, aangezien de criteria nog onbekend zijn.
De VNG vertrouwt erop dat de minister deze punten meeneemt in de definitieve versies van de Algemene Maatregelen van Bestuur. Wij zetten de samenwerking met de minister rondom een goede implementatie van de Cbw en Wwke graag voort, om zo tot een digitaal veilige en weerbare overheid te komen.
