Overslaan en naar de inhoud gaan

Hoe de NIS2-richtlijn voor gemeenten nog beter kan

Gemeenten zijn vorige week aangewezen als 'essentiële entiteit' in de NIS2-richtlijn en krijgen daardoor te maken met flinke eisen op gebied van een zorgplicht, toezicht en een meldplicht om passende maatregelen te nemen op gebied van cybersecurity. Burgemeester van Lochem Sebastiaan van ’t Erve, die momenteel promotieonderzoek doet naar cybercrisismanagement, stipt enkele verbeterpunten aan voor de komende tijd.

Sebastiaan van ´t Erve
Sebastiaan van ´t Erve

Gemeenten krijgen met NIS2 een grote verantwoordelijkheid en moeten straks onder meer cyberincidenten met aanzienlijke gevolgen melden aan de toezichthouder (RDI) en aan het eigen Computer Security Incident Response Team (CSIRT). Van ’t Erve deed in het verleden als bestuurder de nodige ervaring op met cybersecurity-rampspoed. Hij geeft aan blij te zijn met de duidelijkheid over het vereiste digitale veiligheidsniveau van gemeenten.

Trendbreuk met verleden

“Nu gemeenten in de richtlijn zijn aangewezen als essentiële entiteit, betekent het dat compliance een verplichting is geworden. Gemeenten moeten voldoen aan de wet- en regelgeving en dat ook kunnen aantonen. Dat is een trendbreuk met het verleden, waarin de oude BIO (baseline informatiebeveiliging) en een min of meer afgezwakte ISO-norm het streven was.”

Wat Van ‘t Erve in de komende tijd graag zou willen zien is dat ISO-norm 27001 voor gemeenten centraal gesteld wordt als de standaard waaraan voldaan moet worden. “Dus geen eigen ‘overheidstandaard’ meer voor digitale veiligheid (BIO), maar aansluiten bij de internationale standaard ISO 27001. Dat geeft duidelijkheid voor alle partijen, ook bij aanbestedingen.”

Geschikt voor audits

Van ’t Erve ziet accountants bij gemeenten vaak worstelen met de vraag of een gemeente nu wel of niet voldoende heeft gedaan op gebied van cybersecurity. “De ISO-norm kan helpen om een eenduidig antwoord te geven en is geschikt voor audits. Een praktische en gelijkwaardige tool zou een uitkomst kunnen zijn, zonder dat we check box-security moeten nastreven. Het blijft daarbij belangrijk om ook inhoudelijk van elkaar te leren.”

Hij hoopt ook dat er door het ministerie wordt besloten om geen goedkeurende accountantsverklaringen meer af te geven aan overheden die geen geldig ISO 27001-certificaat kunnen aantonen. In zijn ogen is dat ook de beste manier voor accountants is om vast te stellen of de digitale continuïteit van de organisatie is geborgd.


Data-uitwisseling alleen bij compliance

Tot slot voegt Van ‘t Erve nog een derde wens aan toe aan zijn verlanglijstje: geen data-uitwisseling tussen overheden als er niet bij iedere transactie kan worden aangetoond dat beide partijen aan de wet- en regelgeving voor privacy en veiligheid voldoen. Hij ziet daarbij een goed voorbeeld: “Tijdens de coronacrisis heeft het ministerie van Volksgezondheid succesvol een tool ontwikkeld die deze eisen oplegde aan marktpartijen. Aangezien individuele overheden onder NIS2 verantwoordelijk worden gehouden voor compliance, is het ook logisch om te zeggen dat er alleen gegevens worden uitgewisseld met overheden die de compliance óók goed voor elkaar hebben.”

Van ’t Erve hoopt dat er in Den Haag goed geluisterd wordt naar de gemeenten en suggesties voor de uitwerking van NIS2, die enorme impact heeft op het securitybeleid van gemeenten. “Gemeenten wachten nu op wat gaat er in Den Haag nu precies gebeuren. Met name voor duidelijkheid over de praktische uitvoering moet er nog veel geregeld worden. Als die zaken goed uitgewerkt zijn, maakt het de uitvoering voor gemeenten ook makkelijker.”

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in