Per 17 oktober moeten EU-landen de Network and Information Security Directive (NIS2-richtlijn) hebben omgezet in nationale wetgeving. De richtlijn heeft belangrijke implicaties voor gemeenten als het gaat om informatiebeveiliging en de meld- en zorgplicht rondom (cyber)incidenten.
De richtlijn moet door EU-lidstaten worden omgezet in nationale wetgeving. In Nederland gebeurt dit via de Cyberbeveiligingswet. De wet is deze zomer in consultatie geweest en zal medio 2025 van kracht worden. Voor de VNG staan de haalbaarheid, betaalbaarheid en uitvoerbaarheid van de wet voor gemeenten voorop, dit is ook meegenomen in onze consultatiereactie.
In de periode dat de richtlijn van kracht is maar de wet nog niet, geldt dat organisaties die onder de richtlijn vallen al wel rechten hebben, maar nog geen wettelijke plichten. Gemeenten hebben het recht op hulp bij digitale incidenten en ondersteuning bij het voorkomen daarvan door de VNG/Informatiebeveiligingsdienst (IBD), als sectorale Computer Incident Response Team (sectorale CSIRT). Lees wat u mag verwachten van de VNG/IBD bij een incident of ter voorkoming ervan.
Nog niet alle plichten uit de nieuwe wet zijn duidelijk. De VNG is hierover voortdurend in contact met het rijk. Verschillende ministeries, zoals BZK, JenV, IenW en VWS, stellen nadere regels. Denk hierbij bijvoorbeeld aan verkeer, weg- en waterbeheer en de zorgsector. Dit zijn processen die in de NIS2-richtlijn zijn genoemd en die in Nederland lokaal georganiseerd zijn. Van deze nadere regelgeving is nog niet duidelijk wat de exacte scope wordt en dus ook niet wat de impact op gemeenten zal zijn.
Ook staan er nog vragen open die verband houden met onder andere de uitwerking van de governance, de implementatiekosten en sancties voor gemeenten. Daarnaast pleit de VNG ook voor het blijven gebruiken van bestaande toezichts- en verantwoordingsinstrumenten, waaronder de Eenduidige Normatiek Single Information Audit (ENSIA), het instrument waarmee alle Nederlandse gemeenten jaarlijks, op één en hetzelfde moment, via één en dezelfde methode, verantwoording afleggen over onder meer hun informatieveiligheid.
De eisen van NIS2 worden door BZK in de vernieuwde Baseline Informatiebeveiliging Overheid (BIO2) vastgelegd en deze wordt met de cyberbeveiligingswet verplicht. Ook de BIO2 is in consultatie geweest. De impact van NIS2 voor gemeenten zal afhankelijk zijn van de mate waarin nu al wordt voldaan aan de BIO. Daarom is het cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO.
Pas bij invoering van de cyberbeveiligingswet en de wet weerbaarheid kritieke entiteiten medio 2025 geldt een zorgplicht, een meldplicht en is er sprake van toezicht op de beheersing van digitale risico’s. Daardoor zal 2026 het eerste jaar zijn waarover via ENSIA-verantwoording over bijvoorbeeld de BIO2 en eventuele andere regelingen van vakministers afgelegd kan worden.
