Onrust over de nieuwe cybersecurity-wetgeving NIS2
De gemeenten zijn ongerust over de nieuwe Europese Cybersecurity-wetgeving NIS2 die in 2024 van kracht wordt. Er is namelijk geen duidelijkheid over de exacte eisen die er gesteld zijn door De Rijksoverheid. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder 80 gemeenten blijkt namelijk dat slechts een paar hiervan al concrete stappen hebben gemaakt om zich voor te bereiden.
Beveiligingseisen onvoldoende tot niet in kaart
Met de inwerkingtreding van NIS2 per oktober 2024 worden straks 8.000 organisaties als een essentiële organisatie aangewezen. In vergelijking met NIS1, die momenteel geldt als Europese cybersecurity wet, gelden de beveiligingseisen maar voor zo’n 300 organisaties. Wie niet aan deze strenge beveiligingseisen voldoet riskeert een boete die kan oplopen tot 10 miljoen euro of bij bedrijven tot 2% van de omzet.
Onder de beveiligingseisen vallen ingrijpende zaken, zoals het in kaart hebben welke toeleveranciers er zijn, voor welke vitale processen gemeenten zelf verantwoordelijk zijn en het verbeteren van de security van die processen. Om hier aan te voldoen, hebben alle tachtig gemeenten dus nog meer dan een jaar. Echter is er nog een hoop te doen, want van de tachtig gemeenten geven slechts vijf gemeenten aan hun toeleveranciers in kaart gebracht te hebben. Zes gemeenten kunnen aangeven dat ze vitale processen in kaart hebben binnen de organisatie.
Investering onduidelijk
Maar liefst zeventig van de tachtig gemeenten geeft aan dat het onduidelijk is welke investeringen zij precies moeten doen. Dit komt omdat de Europese afspraken nog niet vertaald zijn naar een Nederlandse wetgeving. Ook weet een grote groep gemeenten nog niet hoe lang ze precies nodig hebben om aan de eisen te voldoen. De overige groep, die wel weet welke investering zij moeten doen, geeft aan dat er meer budget nodig is. Daarnaast wordt gezegd dat het beveiligingsbewustzijn versterkt moet worden, opleidingen gevolgd moeten worden, gesprekken gevoerd moeten worden met leveranciers en tot slot is er meer toetsing nodig op het cybersecuritygebied.
Implementatie te complex
In januari 2023 is de implementatietermijn gestart van 21 maanden. Binnen deze 21 maanden moeten de bepalingen van de richtlijn worden opgenomen in de nationale wetgeving. In het najaar van 2023 start een internetconsultatie periode van 6 weken. Burgers, bedrijven en overheidsinstellingen kunnen verbeteringen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten worden vervolgens gepubliceerd en waar mogelijk verwerkt in wetsvoorstellen. De reden hiervoor is dat de NIS2-richtlijn te complex en omvangrijk is. De NIS2 wordt samen met de CER-richtlijn geïmplementeerd. Dit is de complex omdat er veel meer sectoren en organisaties binnen de reikwijdte van de implementatiewet vallen dan bij de NIS1-richtlijn. Daarnaast vraagt de implementatie meer van de betrokken sectoren en organisaties, zoals een zorgplicht en meldplicht bij incidenten. Om het wetsvoorstel zorgvuldig en duidelijk te verwerken is er meer tijd nodig en wordt de implementatie niet in de zomer van 2023, maar het najaar van 2023 gestart.
NIS2 staat op de agenda
NIS2 staat met rood omcirkeld in de agenda bij de Vereniging Nederlandse Gemeenten (VNG). Op 14 juni stemmen gemeenten tijdens het VNG-congres over een motie waarin gevraagd wordt om de actie van De Rijksoverheid. De afstemming is cruciaal tussen verschillende ministeries, met als doel om de NIS2 in te laten gaan per 17 oktober 2024.
LEES OOK:
Vond je dit interessant?
Schrijf je in voor onze Nieuwsbrief, mis niks en ontvang speciale aanbiedingen plus de belangrijkste ICT nieuws, tips & tricks!