Welke impact heeft het als een lokale overheid wordt gehackt? Op 1 april 2022 kwam de gemeente Buren hier op een hele pijnlijke manier achter. Even is er ongeloof, want .. 1 april. Maar al snel maakt de veronderstelling van een slechte grap plaats voor een besef dat ongewenste personen zich toegang hebben weten te verschaffen tot de gemeentelijke systemen. Als de mist vervolgens stukje bij beetje optrekt, wordt de schade zichtbaar. In dit geval: 130 GB aan vertrouwelijke informatie gestolen, die al snel werd aangeboden op het darkweb. De hackers geven aan meer dan 5 TB aan data te hebben buitgemaakt. Op advies van cybersecurity experts gaat Buren niet in op verzoeken tot contact met de hackers. Waarschijnlijk zou er losgeld zijn geëist. Inwoners moesten tevens nieuwe paspoorten komen aanvragen, omdat persoonlijke gegevens op het darkweb stonden.

Voorbereiding op digitale ontwrichting, incidenten en crises

Het is ook mogelijk, dat een digitaal veiligheidsincident escaleert naar een fysiek veiligheidsincident of zelfs -crisis.[4] Ook gemeentelijke infrastructuur ligt in toenemende mate onder vuur en ook op dit niveau hebben gemeenten en hun bestuurders een rol. Voor sommige functies is dit direct duidelijk. Zo hebben gemeenten fysieke infrastructuur als bruggen, sluizen, gemalen en verkeersregelsystemen onder beheer, die ook in toenemende mate verbonden zijn met het internet. Ook beheren gemeenten steeds meer internet-of-things technologie (IoT) in de publieke ruimte, zoals camera’s en sensoren. Het is ook vrij duidelijk dat gemeenten een verantwoordelijkheid dragen over deze apparatuur, inclusief de data die deze dragen. Maar geldt dat ook voor gemeentelijke functies als het onderwijs, de gezondheidszorg, de vuilnisophaaldienst of de lokale voedseldistributie? Als één van deze functies uitvalt, kan dat namelijk absoluut tot maatschappelijke onrust leiden. Zeker op lokaal niveau.

Onduidelijke rol en bevoegdheden burgemeester

De burgemeester is verantwoordelijk voor de openbare orde en veiligheid in een gemeente. Betekent dat dan ook dat de burgemeester een rol heeft als het digitaal misgaat, en de impact zich in de fysieke wereld laat voelen? En zo ja, hoe ziet die verantwoordelijkheid er dan uit en welke bevoegdheden heeft de bestuurder in dat geval, ook om preventieve maatregelen te nemen? Er is immers geen wet die het voor bestuurders mogelijk maakt om periodiek de vitale processen en systemen van organisaties na te lopen en te checken op updates. In de fysieke wereld heeft de brandweer bijvoorbeeld wel een soortgelijke bevoegdheid. Zij mogen panden immers controleren op hun brandveiligheid. Ergo, is het geheel van wetten, regels, mandaten en bevoegdheden zoals wij die binnen het fysieke veiligheidsstelsel kennen wel voldoende toegesneden op de digitale werkelijkheid?

Dat het goed fout kan gaan in de gemeente zelf is de afgelopen jaren ook meermaals gebleken. Zo was bijvoorbeeld het ROC Mondriaan in augustus 2021 slachtoffer van een grootschalige hack. Resultaat: 200.000 gestolen bestanden en alle systemen versleuteld. Voor alle 27 scholen gold dat digitaal lesgeven wekenlang geen optie meer was. Circa 19.000 studenten waren de dupe.

Online aangejaagde openbare ordeverstoringen

Daarnaast zien we al een aantal jaar, met name sinds de pandemie, een ontwikkeling die steeds groter wordt. Ordeverstoringen die online beginnen, of online aangejaagde openbare ordeverstoringen. Deze onrust begint dus online. Bijvoorbeeld doordat personen elkaar daar oproepen om te komen rellen of demonstreren tegen bijvoorbeeld politieke besluiten, complottheorieën delen, oproepen om op pedofielen te jagen of jeugdgroepen die afspreken met elkaar op de vuist gaan. Hierbij spelen twee vraagstukken voor gemeenten; hoe signaleer je deze potentiële ordeverstoringen vroegtijdig en indien je dit hebt gesignaleerd, hoe intervenieer je? Op de vraag hoe je dit kunt signaleren, komt begin 2023 een juridisch kader en handreiking uit vanuit het ministerie van Binnenlandse zaken. “Wat is online monitoren, wat mag je als gemeente en mag je daarbij gebruikmaken van nepprofielen en deelnemen in besloten social media groepen”, dit soort vragen zijn daarin nader uitgewerkt. Naar de tweede vraag wordt veel onderzoek gedaan en is door het regionale samenwerkingsverband in Noord-Holland een interventiekaart opgesteld. [6]

Na het instellen van een landelijke avondklok vanaf 23 januari 2021 door een grote toename van het aantal corona besmettingen, werd het in meerdere gemeenten in Nederland onrustig. De onvrede tegen de maatregelen uitte zich in plunderingen, rellen, vernielingen, maar ook in provocatie van de politie door jongeren. Dit mondde op 25 januari 2021 uit in een explosie van geweld in Rotterdam-Zuid. Op Telegramgroepen ging de oproep rond om te gaan rellen bij de Beijerlandselaan. Zo'n honderd jongeren verzamelden zich, veelal met hoodies, bivakmutsen en mondkapjes. Burgemeester Aboutaleb kondigde na aanwijzingen voor mogelijke rellen een noodbevel af, maar dit kon niet meer de online opruiing,  die plaatsvond buiten het zicht en de controle van de driehoek, niet meer voorkomen. Na uren plunderen en auto’s en in brand steken hebben de relschoppers uiteindelijk tonnen aan schade veroorzaakt. Hoe had dit voorkomen kunnen worden?

Versterken digitale weerbaarheid inwoners en ondernemers

Digitale criminaliteit stijgt in een enorm tempo, stellen partijen als de politie, het Openbaar Ministerie en het CBS. Waar inwoners en ondernemers vroeger vooral investeerden in goede sloten voor hun huis of zaak om weerbaarder te worden tegen inbraken of overvallen, is het tegenwoordig zaak jezelf te wapenen tegen een harder groeiende kwetsbaarheid: gedigitaliseerde criminaliteit en cybercrime.

Cybercriminelen kunnen door een simpel linkje duizenden euro's aan schade veroorzaken, doordat er digitaal ingebroken wordt, of een systeem platgelegd wordt, met alle gevolgen van dien. Technische maatregelen, zoals het bijwerken van systemen en het maken back-ups zijn belangrijk. Maar het is ook belangrijk dat inwoners en ondernemers zich bewust zijn van de gevaren en deze tijdig herkennen. Door beter te herkennen wat veilig is en wat niet, en te weten hoe te handelen als ze toch ergens ingetrapt zijn, zal de schade beperkt worden. Maar dit is geen lineair proces. Want ook criminelen leren steeds bij en gaan creatief te werk. Hierbij is het voor bestuurders van belang dat ze inzicht krijgen in de vormen van cybercriminaliteit die in hun gemeente veel voorkomen en deze kunnen aanpakken met ‘evidence based’ beleid.

Het is belangrijk dat inwoners informatie delen met de gemeente en aangifte doen. Aangifteschaamte kan dit belemmeren. Met weerbare inwoners wordt cybercrime minder lucratief en het gevoel van veiligheid groter.

Dit geldt voor zowel slachtoffers als daders, maar ook de informatiedeling met gemeenten en aangifteschaamte speelt hierin een rol. Door de inwoners weerbaar te maken, zorgen we dat online criminaliteit minder lucratief wordt en inwoners niet hun gevoel van veiligheid online verliezen.

Als mevrouw de Vries jaren na haar scheiding een account maakt voor een datingapp, gaat ze verschillende profielen af voordat ze haar droommatch tegenkomt. Een slimme, welbespraakte VN-arts, die ook nog eens een echte romanticus lijkt te zijn. Ze videobellen en appen elke dag, de hele dag door. Er is maar één probleem. Zijn rekening is afgeschermd door de VN uit angst voor terroristen die het op de hulpdiensten gemunt hebben. Hij vraagt eerst om een bijdrage voor de telefoonkosten, maar uiteindelijk maakt ze ook geld over voor een ticket naar Nederland. Als bewijs dat ze hem kan vertrouwen, laat hij haar zijn ID zien en wat brieven van het ziekenhuis waar hij werkt. Maar hij komt nooit aan. Zijn vliegtuig zou neergestort zijn. Hij stuurt haar beelden waarin hij in het ziekenhuis ligt, kermend van de pijn. Hij heeft geld nodig voor zijn operatie. Ze twijfelt even, maar maakt het geld toch over. Daarna is hij wel online, maar reageert hij niet meer. En zij ziet haar geld nooit meer terug. Ze blijft beschaamd met een lege spaarrekening en een gebroken hart achter.

Verder doet digitale criminaliteit zich ook in andere gedaanten voor. Het darkweb staat vol met contrabande als drugs en wapens, maar ook met paspoorten, username/ wachtwoord-combinaties etc. Ook worden allerhande soorten malware- en platformproducten aangeboden om cybercriminelen in spé bij te staan in hun eerste stappen in de wereld van de digitale criminaliteit. Je kunt het zo gek niet bedenken of het wordt wel online aangeboden. Tegen de juiste prijs. Daarbij is het vinden en betreden van een illegale marktplaats op het darkweb ook frustrerend laagdrempelig (vanuit een veiligheidsperspectief wel te verstaan). Het begint allemaal met het downloaden van een browser die het darkweb kan betreden, bijvoorbeeld The Onion Router (TOR). Dit is volledig legaal. Vervolgens wijd je een simpele google-search naar de dienst of het product waarnaar je op zoek bent, in combinatie met de zoekterm ‘darkweb market’ (of iets soortgelijks). Ook legaal. En binnen 10 minuten sleep jij het desbetreffende product naar je digitale mandje. Dit is niet legaal, maar een kind kan de was doen. Dit vormt natuurlijk een verschrikking voor de bestuurder die geacht wordt de openbare orde en veiligheid te borgen.

Beleidsontwikkeling: omgaan met toegenomen dreiging

Desondanks is het niet allemaal kommer en kwel. Er gaat ook al veel goed. Op alle niveaus zijn er initiatieven en activiteiten om de digitale dreiging te verkleinen en wordt er ook steeds meer en beter samengewerkt, zowel publiek – publiek als publiek – privaat. Zo is door de gemeenten de VNG-Agenda Digitale Veiligheid vastgesteld, die handvatten biedt om gemeenten bij te staan bij digitale veiligheidsvraagstukken. Op Europees, nationaal en gemeentelijk niveau wordt digitale veiligheid steeds meer als een beleidsprioriteit gezien.

Het is interessant om te zien hoe op deze drie niveaus regie wordt genomen op digitale veiligheid. Hierin zijn 3 trends te bespeuren: 

1. Europa: meer supranationale wet- en regelgeving om de aanpak van digitale veiligheid op Europees niveau te harmoniseren;
2. Nationaal: centralistische benadering van het digitale veiligheidsdomein door het rijk;
3. Gemeenten en de VNG: gemeenten worden zelfbewuster en nemen steeds meer initiatief.

Gezien de reeds lopende activiteiten en de lessen die op het gebied van digitale veiligheid worden geleerd, zullen de uitkomsten van deze trends naar verwachting een belangrijke bijdrage leveren aan de digitale veiligheid op alle niveaus. Hieronder worden deze trends uiteengezet en geduid, en volgt de slotsom welke maatregelen we de komende tijd kunnen verwachten en welke aanvullingen dan nog nodig zijn. 

Europa

In Europa is en wordt de komende jaren een hoeveelheid aan wet- en regelgeving binnen de breedte van het digitale domein voorgesteld, vastgesteld en geïmplementeerd. Daarmee ontstaan er uniforme kaders in het digitale domein waar overheden en bedrijven aan moeten voldoen. Dit draagt bij aan de geopolitieke positie van EU op gebied van digitalisering, het bevorderen van waarborgen voor onder andere inwoners en overheden, en  een gelijk speelveld voor alle lidstaten in het digitale domein. Ook als het gaat om digitale veiligheid. Verschillende Europese wetten zullen vanuit het oogpunt van digitale veiligheid de komende tijd relevant worden. Bijvoorbeeld de Digital Services Act (DSA) die ervoor moet zorgen dat tussenpersonen, zoals platformbedrijven, verantwoord omgaan met content ten aanzien van hun eindgebruikers. De Digital Markets Act (DMA) pakt de markt- en datamacht van grote tech- en platformbedrijven aan om de concurrentiepositie van bedrijven en de bescherming van platformgebruikers te verbeteren. Voor gemeenten is dit relevant omdat met deze wetgeving de verspreiding van desinformatie op zulke platforms beter aangepakt zal worden. Zo komen overheden beter in positie in de aanpak van online aangejaagde ordeverstoringen. 

Cyber Resilience Act

Op 15 september 2022 heeft de Europese Commissie daarnaast een voorstel gepubliceerd voor de Verordening Cyber Resilience Act. Deze wet bepaalt dat fabrikanten en leveranciers een cybersecurity-zorgplicht hebben over ICT-producten en -diensten binnen de productlevenscyclus. Van zowel hardware als software die onder deze regelgeving valt, mag dus in de toekomst verwacht worden dat deze inherent veilig zijn en ook veilig blijven (bijvoorbeeld via updates). Ook dient er transparantie te zijn over de mate van deze veiligheid, zodat consumenten geïnformeerde keuzes voor producten kunnen maken. EZK zet geld opzij om deze Europese wetgeving de komende jaren te kunnen implementeren. Dit geldt ook voor de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB2), die op nationaal niveau wordt uitgewerkt in de Wet Beveiliging Netwerk- en Informatiesystemen. Deze richtlijn heeft als doel om de vitale infrastructuur te beschermen en bepaalt dat bedrijven en overheden ‘passende cybermaatregelen’ moeten treffen en dat er een meldplicht voor ernstige cyberincidenten komt. Ook gemeenten gaan (deels) onder deze richtlijn vallen. Dit betreft gemeentelijke processen in ketens, zoals rond identiteiten, reisdocumenten en uitkeringen; processen met bijzondere persoonsgegevens, zoals in de strafrechtketen, de zorg en met betrekking tot jeugd; processen met meet- en regeltechniek in het fysieke domein, zoals afvalwaterzuivering en -ophaal, wegen- en parkeerbeheer, verkeersregelsystemen; en ook processen in het zorgdomein, in de jeugdzorg en rondom de hielprik. Eind november 2022 is een akkoord bereikt over deze wet. Over ongeveer 21 maanden zal deze wet van toepassing zijn.

Rijk

Het rijk investeert, maar onvoldoende in gemeenten. Gemeenten zullen het de komende jaren moeten doen met 1,5 miljoen euro die zij jaarlijks via de zogenaamde City Deal Lokale Weerbaarheid mogen verdelen[7]. Kanttekening hierbij is dat verre van alle 344 gemeenten hiermee bereikt worden en een aandeel ontvangen. Dit terwijl er op rijksniveau steeds meer aandacht voor digitale veiligheid is.

Zo bleek uit de Miljoenennota dat het kabinet voor 2023 circa 200 miljoen euro vrijmaakt om de digitale veiligheidsstructuur van Nederland te versterken. Over de volle linie krijgen landelijke organisaties er vanaf 2023 veel geld bij. Zo kan het Openbaar Ministerie bijvoorbeeld volgend jaar 12 miljoen tegemoetzien voor de versterking van de aanpak cybercrime en het verhogen van de opsporingscapaciteit in het digitale domein. Ook maakt het rijk geld vrij voor de implementatie van Europese wet- en regelgeving (6,6 miljoen naar EZK voor de implementatie in het kader van de Resillience Act voor veiligere hard- en software) en 3,5 miljoen naar BZK voor de implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtijn NIB2. Voor gemeenten is het budget helaas te  beperkt om serieuze impact te bewerkstelligen.

De NLCS

Hieruit valt op te maken dat de nationale aanpak op het gebied van digitale veiligheid voornamelijk top-down is ingestoken. Dit blijkt ook uit de NLCS die kort na Prinsjesdag werd gepresenteerd. Het kabinet werkt met deze strategie aan een ‘digitaal veilig Nederland’ en wil dit bereiken via doelen die zijn geformuleerd langs vier pijlers. Ten eerste beoogt het kabinet de digitale weerbaarheid van overheid, bedrijven en maatschappelijke organisaties te verhogen. Ten tweede wordt ingezet op veilige en innovatieve digitale producten en diensten. Ten derde het tegengaan van digitale dreigingen van staten en criminelen. En ten vierde door te investeren in onderwijs over digitale veiligheid, digitale weerbaarheid van burgers en voldoende cybersecurity specialisten.[8]

De strategie is een coherent geheel, waarmee het kabinet duidelijk de regie pakt om de Nederlandse digitale veiligheidsstructuur te versterken. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) coördineert het geheel, maar de verschillende departementen gaan over de plannen binnen hun respectievelijke domeinen. Bestuurlijk is de minister van Justitie en Veiligheid verantwoordelijk. Overigens groeit ook het budget van de NCTV de komende jaren door naar 54,9 miljoen. Later in deze analyse wordt ingegaan op de fundamentele uitdagingen die uit de NLCS voortkomen.

Landelijke regierol, maar randvoorwaarden moeten beter worden ingevuld

Het is goed te zien dat het rijk de regierol pakt, maar een aantal dingen blijven nog altijd uit. Zo ontbreekt nog altijd een governance-structuur, een duidelijk stelsel van bestuurlijke afspraken. Daarnaast ontbreken de middelen voor decentrale overheden om hun rol te pakken. De burgemeester is in Nederland immers op lokaal niveau het bevoegd gezag, die gaat over de openbare orde en veiligheid. Waar in het fysieke veiligheidsdomein de bestuurlijke verantwoordelijkheid bottom-up is georganiseerd, lijkt de verantwoordelijkheidsverdeling op het digitale domein nu top-down georganiseerd te worden. Hier wringt het, want we hebben net geconstateerd dat het fysieke en digitale veiligheidsdomein in elkaar overlopen en niet los van elkaar kunnen worden gezien. Hier schuurt de centralistische benadering van het kabinet met de bestuurlijke praktijk op lokaal niveau. Naast het uitvoeren van de acties uit de NLCS zal het kabinet de komende periode dus ook klare wijn moeten schenken over de bestuurlijke bevoegd- en verantwoordelijkheden op lokaal niveau zijn, wil het echt tot een ‘digitaal veilige samenleving’ komen. 

Gemeenten en de VNG

Tijdens de Algemene Ledenvergadering van de VNG in februari 2021 hebben de leden de resolutie ‘Digitale Veiligheid: kerntaak voor gemeenten’ unaniem aangenomen en daarmee een helder signaal afgegeven. Gemeenten zijn verantwoordelijk om de eigen informatiehuishouding veilig te organiseren, maar gemeenten dragen ook een (bestuurlijke) verantwoordelijkheid voor het versterken van de digitale weerbaarheid op het niveau van de gemeente.[9] Het thema moet worden opgenomen in integrale veiligheidsplannen, incidenten moeten met elkaar gedeeld worden en scenario’s geoefend. Gemeenten trokken hiermee het initiatief naar zich toe en de cyberburgemeesters gaven daar een maand later uiting aan door een pamflet te sturen naar de onderhandelaars van het regeerakkoord. Doel: aandacht vragen voor de knelpunten in de aanpak van digitale onveiligheid op lokaal niveau.[10]

Twee punten stonden in dit pamflet centraal: 1) de oproep om een landelijke regierol te pakken met een heldere governance-structuur in de aanpak van digitale onveiligheid, en; 2) structurele aandacht, benodigde capaciteit en structurele financiering voor bestuurlijke en preventieve aanpak van digitale onveiligheid op lokaal niveau. 

Cyberburgemeesters maken zich hard voor aanpak digitale onveiligheid

Het pamflet was ondertekend door een groep van 14 zogenoemde ‘cyberburgemeesters’. Het collectief cyberburgemeesters spant zich in om digitale veiligheid hoog op de bestuurlijke agenda’s te krijgen en te houden en waar nodig aandacht te vragen voor de knelpunten die gemeenten op dit thema ervaren. Vanuit hun rol als burgemeester heeft het collectief een prominente en invloedrijke stem richting de verschillende bestuurslagen. Op initiatief van de cyberburgemeesters is medio 2022 tijdens de VNG ALV ook nog een motie aangenomen, die de VNG opriep zich richting het ministerie van BZK hard te maken voor voldoende middelen om digitale onveiligheid op lokaal niveau aan te pakken, maar ook met de oproep richting het ministerie om gemeenten te ondersteunen bij het implementeren van de NLCS.

Gemeenten leren actief door lessen te delen

De gemeentelijke aandacht voor dit thema neemt verder toe. Het is goed te zien dat in het meerjarige veiligheidsbeleid van gemeenten, de IVP’s, digitale veiligheid een steeds grotere rol krijgt. Hier hebben het Centrum voor Criminaliteitsbestrijding en Veiligheid (CCV), de Agenda Digitale Veiligheid (ADV) van de VNG en de regionale samenwerkingsverbanden een belangrijke aanjagende rol. Laatstgenoemde hebben diverse projecten en initiatieven lopen, kennis en ervaring waar je in je eigen regio op kunt aanhaken. Voorts hebben ook verschillende gemeenten een eigen digitale veiligheidsagenda opgesteld, waarin op hoog niveau wordt nagedacht over de rol en verantwoordelijkheid van de gemeente binnen het digitale domein. Hierbij wordt wel geconstateerd dat dit momenteel met name de grote gemeenten zijn die tijd en ruimte hebben om dit uit te werken. Wegens capaciteit- en budgetvraagstukken komen nog lang niet alle gemeenten eraan toe om in te zetten op digitale veiligheid. Er zijn veel vacatures en weinig mensen met expertise op het onderwerp. Indien er ruimte is, moet er eerst nog een bewustwordings- en kennisslag gemaakt worden. Gelukkig zijn er steeds meer partijen die activiteiten organiseren waar de gemeenten deze kennis kunnen ophalen. Over het algemeen zien we wel dat gemeenten steeds vaker regie willen én kunnen pakken op dit thema en zoeken daarbij aansluiting bij regionale en landelijke plannen.  
Ten aanzien van de volledige breedte van digitale veiligheid lijken gemeenten steeds beter in staat te zijn om van elkaar te leren. Zowel als het gaat om weerbaarheidsprojecten voor inwoners, het oefenen met cybercrisisscenario’s, het online monitoring van online aangejaagde ordeverstoringen als het beveiligen van je eigen gemeentelijke organisatie. Diverse partijen (zoals CCV, VNG, IBD en regionale samenwerkingsverbanden) bieden gemeenten een platform om op één van deze wegen kennis en ervaringen te delen.

Fundamentele uitdagingen

Om digitale veiligheid langs de volledige breedte van de samenleving te versterken, hebben rijk en gemeenten elkaar nodig. Gemeenten zien ondanks het vele goede werk dat wordt verricht nog verschillende fundamentele uitdagingen voor de uitwerking van digitaal veiligheidsbeleid op lokaal niveau. In de bestaande kaders worden deze uitdagingen nog onvoldoende geadresseerd. Deze uitdagingen zijn:

1. Benodigde capaciteit en structurele financiering:

Op dit moment ontbreekt het gemeenten aan benodigde capaciteit en structurele financiering voor digitale veiligheid. Gemeenten hebben daardoor onvoldoende middelen om op lokaal niveau voldoende maatregelen te nemen. Vanuit de City Deal Lokale Weerbaarheid Cybercrime is meerjarig geld beschikbaar, maar niet structureel. Tevens krijgen niet alle gemeenten een deel van dit bedrag. Diverse gemeenten kunnen met de huidige beschikbare middelen wel iets doen, maar onvoldoende. Hierbij gaat het zowel om de digitale veiligheid van de eigen organisatie als richting inwoners en organisaties in de gemeente. Er zijn op dit moment vanuit de rijksoverheid geen meerjarige lokale versterkingsgelden beschikbaar, zoals dat voor bijvoorbeeld ondermijning of radicalisering wel het geval is. De NLCS-actieplannen zijn structureel gefinancierd op rijksniveau. Bestaande activiteiten op lokaal niveau zijn echter gefinancierd met incidentele middelen en daardoor kwetsbaar.

Bovendien ontbreekt het aan middelen om succesvolle activiteiten op te schalen of nieuwe activiteiten te starten.

Door nieuwe regelgeving ten aanzien van het verhogen van de digitale veiligheid wordt de (financiële) druk op gemeenten mogelijk verder verhoogd. Op de lange termijn is dit een onhoudbare situatie, waarvoor gemeenten samen met het rijk naar een structurele oplossing willen zoeken. Dit hangt nauw samen met de uiteindelijke vertaling van het fysieke veiligheidsstelsel naar digitale veiligheid. 

2. Digitale veiligheidsstelsel:

Het fysieke veiligheidsstelsel is niet toereikend om de verantwoordelijkheden, rollen, taken en bevoegdheden voor digitale veiligheid te organiseren. Het rijk maakt in de NLCS expliciet de keuze voor 'centraal waar het kan, decentraal (sectoraal en lokaal) waar het moet'. Dit is ook voor gemeenten deels begrijpelijk gezien de punten waarop digitale veiligheid fundamenteel anders is dan fysieke veiligheid. Maar de keuze voor 'centraal, tenzij' staat in contrast met het principe van 'decentraal, tenzij', zoals we dat voor fysieke veiligheid kennen. Er zal dus een duidelijke doorvertaling van de bestuurlijke bevoegdheden van de burgemeester naar het digitale domein moeten komen, inclusief afspraken over verantwoordelijkheden, rollen en taken.

3. Samenhangend beeld:

De informatiepositie van gemeenten op digitale veiligheid is onvoldoende, waardoor ze niet effectief, efficiënt en tijdig kunnen optreden. Gemeenten hebben behoefte aan diverse soorten informatie, te weten: 1) een landelijk uniform (lokaal) cyberbeeld welke inzicht geeft in aangiftecijfers en duiding geeft aan, aard en omvang van de problematiek op cybercrime en gedigitaliseerde criminaliteit. Dat ontbreekt nu in het grootste gedeelte van het land, waardoor onduidelijk is op welke criminaliteitsvormen de beperkte capaciteit en middelen moeten worden ingezet. 2) directe informatievoorziening vanuit het rijk aan gemeenten over dreigingen, incidenten en kwetsbaarheden betreffende de gemeente én maatschappelijk relevante organisaties in de stad.

Rijk en gemeenten zijn met elkaar in gesprek over deze uitdagingen en zijn voornemens een bestuurlijk convenant af te sluiten, waarin deze uitdagingen worden geadresseerd. Uitgangspunt is om te komen tot een gezamenlijke aanpak om deze knelpunten op te lossen. Door hierin samen op te trekken, kan een nog grotere stap worden gezet naar een digitaal veilig Nederland! 

Bronnen

[1] &[2] IBD, Dreigingsbeeld, 2022 (pdf, 321 kB)

[3] Digitale Veiligheid: kerntaak voor gemeenten (pdf, 335 kB)

[4] Gemeente Den Haag, Agenda Digitaal Veilig Den Haag (2022), 20

[6] Aanpak online aangejaagde openbare ordeverstoringen (pdf, 223 kB)

[7] Binnenlands Bestuur, ‘Rijk vooral met zichzelf bezig bij digitalisering’ (20 september 2022) 

[8] Rijksoverheid, Nederlandse Cybersecuritystrategie 2022-2028 (NLCS, 2022)

[9] Digitale Veiligheid: kerntaak voor gemeenten (pdf, 335 kB)

[10] Overleg Cyberburgemeesters, ‘Van de cyberburgemeesters aan de onderhandelaars bij het regeerakkoord‘ (pdf, 293 kB)