komen ook nieuwe rapportageverplichtingen die moeten worden gestroomlijnd. Het toezicht daarop wordt na september 2024 strenger. In sommige gevallen gebeurt dit zelfs proactief en de boetes worden hoger.” Maasland schetst enkele praktische zaken die overheden nu al kunnen doen. Hij stelt dat een risicogebaseerde aanpak noodzakelijk is bij de implementatie van NIS2. Een lokale overheid moet nu al een risicoprofiel opstellen en voor ieder risico hebben uitgewerkt wat daaraan gedaan kan worden en hoe de controle over de situatie kan worden verbeterd. “Met name in België en in de Verenigde Staten zijn voorbeelden van lokale overheden die hard zijn geraakt door cyberaanvallen. Het gaat veelal om ransomware-gevallen, maar ook om bedreigingen van binnenuit. Door de NIS2-maatregelen door te voeren laat je als organisatie zien dat je je bewust bent van deze risico’s, en je toont ook aan hoe je dit mitigeert en controleert.” Voor lokale overheden is het dus nuttig om alvast de nodige voorbereidingen te treffen voor de komst van NIS2. Maasland: “Het hele proces zo inrichten dat je incidenten in een vroeg stadium kunt signaleren én melden is nu al van grote waarde.” Hij vreest echter dat lokale overheden hier op dit moment nog niet aan toe zijn. “De kennis en kunde ontbreekt vaak, mede vanwege de beperkte capaciteit aan menskracht en vacatures die door de krappe arbeidsmarkt niet vervuld kunnen worden. Daarnaast is het voor lokale overheden belangrijk om met securityleveranciers in gesprek te gaan over hoe zij kijken naar de op handen zijnde verplichtingen om duidelijk te krijgen hoe processen zijn ingeregeld.” Maasland wijst nadrukkelijk naar het gemeentelijke bestuur, waar besluitvaardigheid onmisbaar is om veranderingen op tijd in gang te zetten. “Ik vraag me eerlijke gezegd af of het onderwerp genoeg leeft in de gemeentelijke top.” En nogmaals, de tijd dringt. “Bij overheden wordt vaak met sprints van enkele maanden gewerkt waarin een (deel van een) project wordt opgeleverd. Op dit moment duurt het nog zo’n 16 maanden voordat NIS2 in werking treedt. Wanneer je dit vertaald naar vier tot vijf sprints wordt duidelijk dat die deadline wel erg dichtbij komt.” Boetes kunnen torenhoog zijn Een element van NIS2 waar lokale overheden op bedacht moeten zijn, is de introductie van bestuurlijke boetes wanneer er herhaaldelijk niet aan wet- en regelgeving wordt voldaan. Bernold Nieuwesteeg, lid van de adviesraad van het Centre for the Law and Economics of Cyber Security (CLECS) aan de Erasmus Universiteit Rotterdam, waarschuwt met name voor de verantwoordelijkheid van lokale overheden voor toeleveranciers die ook aan verplichtingen moeten voldoen. Volgens Nieuwesteeg kan op papier de veiligheid gewaarborgd zijn, terwijl dat in de praktijk tegenvalt omdat er geen volledig zicht is op alle betrokken organisaties en leveranciers in de keten. “De Rijksinspectie Digitale Infrastructuur (RDI) kan hoge boetes uitdelen die kunnen oplopen tot 2 procent van de jaaromzet”, geeft Nieuwesteeg aan. Schorsing van bestuurders is eveneens een mogelijke optie. Ook Nieuwesteeg constateert dat gemeenten een hoop huiswerk te doen hebben voor de komst van NIS2. “Op het moment dat de wetgeving bekend wordt gemaakt moet je er in mijn ogen eigenlijk al aan voldoen. Je wilt als gemeentelijke organisatie de veiligheid van burgers op een zo hoog mogelijk niveau waarborgen. Wat ik mis is een toezichthouder die nu al duidelijkheid biedt over hoe je kunt voldoen aan de eisen van NIS2. De VNG heeft het een en ander gedeeld aan informatie, maar dat is wat mij betreft nog niet concreet genoeg.” Nummer 47, juni 2023 65
66 Online Touch Home