Digitale veiligheid staat hoog op de verschillende agenda’s van de overheid. Juist in dat meervoud schuilt een probleem: gebrek aan integraliteit. Neem de in 2022 ontwikkelde Nederlandse Cybersecurity Strategie (NLCS), hét actieplan waar in 2023 uitvoering aan wordt gegeven. 'In de governance van de NLCS was het lokale bestuur niet vertegenwoordigd.' Rian van Dam, burgemeester van Hollands Kroon, weet waarom dat anders moest.
'De NLCS is vanuit het rijk tot stand gekomen. In het proces hebben we geconstateerd dat inzicht in de integraliteit met de andere bestuurslagen – niet alleen gemeenten, ook provincies en waterschappen – onvoldoende werd meegenomen', stelt Van Dam. 'Maar als je de strategie wilt vertalen in acties en resultaten dan zijn wij, en ik spreek nu namens de gemeenten, hard nodig. Wij moeten die integraliteit handen en voeten geven. Daarom hebben we in een convenant met het rijk afspraken gemaakt om zo samen te kunnen sturen op de NLCS en op wat er verder nodig is om lokaal digitale veiligheid te waarborgen.'
Dat is des te ingewikkelder omdat de verschillende departementen die de NLCS hebben opgesteld ook nog eens elk hun eigen stukje onder hun hoede hebben. Van Dam noemt wat voorbeelden: 'Cybercriminaliteit bij het ministerie van Justitie en Veiligheid, het ICT-bedrijfsleven bij het ministerie van Economische Zaken, paspoortverstrekking bij het ministerie van Binnenlandse Zaken. Ook saillant: deze week (oktober 2022, red) gingen er drie brieven over digitale veiligheid naar de Kamer over hetzelfde onderwerp, vanuit drie departementen. Maar als elk departement met z’n eigen plan bezig is, is dat voor ons heel ineffectief. Hoe kunnen wij anticiperen en prioriteren als we overal informatie vandaan moeten halen, niet alleen nationaal maar ook vanuit Europa. En als niet duidelijk is hoe alles onderling samenhangt en wat prioriteit heeft.' Positief noemt de burgemeester het feit dat de NLCS onderdeel wordt van de werkagenda van de staatssecretaris Digitalisering Alexandra van Huffelen. 'Daarmee pakt BZK de regiefunctie.'
Centraal tenzij
De burgemeester is blij met het convenant tussen gemeenten en de genoemde departementen. 'In de governance van de NLCS werd het lokale bestuur niet vertegenwoordigd: dat hebben we hersteld in het convenant. En er moeten duidelijke afspraken komen over integraliteit en financiering.' Want ze benadrukt nog maar eens: 'Wij als lokale overheid staan het dichtst bij de samenleving, en dus bij de effecten die digitale ontwrichting met zich meebrengt. Om de plannen van de NLCS te realiseren moet je in de hele keten van partijen kijken wie je waarvoor nodig hebt. Dan kun je eenvoudigweg niet om de gemeenten heen.'
Gemeenten willen duidelijkheid over bevoegdheden en verantwoordelijkheden nu fysieke en digitale veiligheid steeds meer in elkaar overlopen. Van Dam verduidelijkt: 'Op centraal niveau wordt een dreigingsbeeld geschetst waar je niet uit kunt halen wat er op lokaal niveau speelt. Dreigingsinformatie wordt nog niet altijd met alle partijen gedeeld, bijvoorbeeld met de Informatiebeveiligingsdienst van de VNG. Als het om fysieke veiligheid gaat is het qua bevoegdheden: decentraal tenzij. Bij cyberveiligheid is het andersom: centraal tenzij. Hoe regelen we de doorontwikkeling van bevoegdheden naar de gemeenten? Om een bekend voorbeeld te geven: online opruiing start misschien niet binnen jouw gemeentegrens, maar kan wel enorme ordeverstorende effecten hebben binnen jouw gemeente. Hoe kom je vooraf aan die informatie? Welk handelingsperspectief heb je dan?'
Aanvullen, vernieuwen of behouden
Uiteraard wacht Hollands Kroon niet lijdzaam af tot alle zegen van Den Haag komt. 'We experimenteren, kijken naar de grenzen van de mogelijkheden, zoals met digitale gebiedsverboden. Maar ik zeg ook - en vele gemeenten met mij - heb je wel voor alle nieuwe dreigingen nieuwe structuren nodig? Uitval van elektriciteit door brand in een transformatorhuisje, daar hebben we een crisisplan voor. Maar wat als diezelfde elektriciteit uitvalt door een hack, hebben we dan per se een ander plan nodig? Wat is de fysieke uitwerking van digitale criminaliteit, welke onrust verwacht je, wat moet je doen? Kan dat met de rollen en bevoegdheden die er nu zijn? Dat zijn we aan het verkennen. Waarbij we er als gemeenten beducht voor zijn om onnodig nieuwe structuren op te tuigen. We moeten nadenken over waar de juiste bevoegdheden al liggen, en waar die nieuwe dimensie van cyberdreiging invloed heeft. Waar moeten we aanvullen, vernieuwen of behouden.'
Kennis- en steunpunt
Rian van Dam verwacht veel van de samenwerking met het rijk, maar ze heeft ook een boodschap voor de gemeenten. 'Zorg er allereerst voor dat de eigen basis op orde is. Zorg dat je weerbaar bent, dat je kritische bedrijfsprocessen geregeld zijn, dat je weet wat je moet doen als je gehackt wordt en dat alle medewerkers het belang van digitale veiligheid kennen. Dat is een kwestie van voorbereiden en oefenen. Agendeer het onderwerp digitale veiligheid in de driehoek en zet het op de politieke agenda. Digitale incidenten raken de hele organisatie, ál je primaire processen. Wat te denken van de persoonsgegevens van je inwoners; wat als die op straat komen te liggen? Wij hebben echt wel wat te beschermen!'
Als lid van de VNG-commissie Informatiesamenleving wijst Van Dam graag op de IBD, onderdeel van de VNG en het kennis- en steunpunt voor gemeenten als het om informatiebeveiliging gaat. 'Maak gebruik van de kennis en instrumenten die de IBD heeft. En breder, van de gemeentelijke Agenda Digitale Veiligheid en van de peer-to-peer gesprekken die de VNG organiseert. Ontzettend leerzaam om ervaringen van andere gemeenten te horen en elkaar vragen te stellen. We kunnen veel zelf doen. Maar willen we echt kunnen anticiperen en vooruitdenken, dan hebben we meer nodig; dan moet die integraliteit met de andere bestuurslagen er komen. Want voor ons allemaal geldt: de vraag is niet óf je onder digitaal vuur komt te liggen, maar wanneer!'