bijvoorbeeld bij Infrastructuur en Waterstaat en Volksgezondheid, Welzijn en Sport. “Maar een aantal zaken is nog niet helder; dat brengt de VNG onder de aandacht bij de verantwoordelijke bewindspersonen.” Ik vraag me eerlijke gezegd af of het onderwerp genoeg leeft in de gemeentelijke top De vragen die de VNG heeft hebben volgens Kok te maken met de toepasbaarheid van de richtlijn op Nederlandse gemeenten en hoe dit zich verhoudt tot bestaande richtlijnen zoals de Baseline Informatiebeveiliging Overheid (BIO), Eenduidige Normatiek Single Information Audit (ENSIA) en de Informatiebeveiligingsdienst (VNG/IBD) voor gemeenten. “Daarnaast werken de vakministeries voor NIS2 nadere regelgeving uit, bijvoorbeeld ten aanzien van verkeer, weg- en waterbeheer en de zorgsector. Dit zijn processen die in de EU-Directive met name zijn genoemd, maar in Nederland zijn die lokaal georganiseerd.” Kok geeft aan dat bij deze regelgeving nog niet duidelijk is wat de exacte scope wordt. “En dus ook niet wat de impact op gemeenten zal zijn. Maar er staan wel sancties op inbreuken op de richtlijn. Op welke wijze die sancties uitvallen voor het lokaal bestuur is ook nog niet nader uitgewerkt.” Kok denkt wel dat de normen uit de bestaande BIO naar alle waarschijnlijkheid wettelijk verplicht zullen worden. Ook komt er een wettelijke meldplicht voor incidenten op informatiebeveiliging. Uitvoerbare regelgeving Op de vraag of de VNG bezorgd is over de tijdsdruk die gepaard gaat met de invoering van de wet, meldt Kok dat er tussen nu en 2026 maar liefst 13 regelgevende initiatieven op gebied van digitalisering en cybersecurity aankomen. “De wetten moeten in samenhang worden bekeken, niet afzonderlijk. De NIS2 gaat in per 17 oktober 2024. De afstemming tussen de verschillende ministeries is hierbij cruciaal en we beseffen dat dit een ingewikkelde operatie is. Hoe langer het duurt om tot een nationale doorvertaling te komen, hoe hoger de tijddruk voor de feitelijke implementatie voor alle betrokken partijen.” De VNG doet er volgens Kok alles aan om het gemeenten zo makkelijk mogelijk te maken wat betreft duidelijkheid over de scope, de verdeling van verantwoordelijkheden en geharmoniseerd toezicht. Ook zet de VNG in op vermindering van de auditlast en een haalbare en uitvoerbare regelgeving voor lokale overheden. “Het is cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO. Gemeenten hebben nu een verplichtende zelfregulering ten aanzien van de zorgplicht (BIO), afspraken over een meldplicht bij de sectorale CERT/CSIRT IBD en het toezichtstelsel ENSIA. De impact per gemeente zal afhankelijk zijn van de mate waarin nu al gedocumenteerd voldaan wordt aan de BIO.” Toezicht wordt strenger Cybersecurity experts roepen bestuurders op om niet langer te wachten met anticiperen op NIS2. Dave Maasland is een van die experts: “De omvang en de impact van deze wet zijn potentieel enorm.” Maasland wijst diverse uitdagingen aan waarmee lokale overheden te maken zullen krijgen. De nu al opgelegde beveiligingseisen worden verder aangescherpt. “Daarnaast krijgt de online beveiliging van de hele leveranciersketen een verbeterslag. Er 64
65 Online Touch Home