De Onderzoeksraad voor de Veiligheid bracht het rapport 'Kwetsbaar door Software' uit naar aanleiding van het beveiligingslek in het softwarepakket Citrix tijdens de jaarwisseling 2019/2020. Het lek leidde bij een groot aantal organisaties, waaronder gemeenten, tot verstoring van de dienstverlening. De VNG heeft een inhoudelijke reactie op het rapport gegeven: de conclusies en daaruit voortvloeiende aanbevelingen zijn herkenbaar en verdienen de volle aandacht.  

Zo onderkennen we de noodzaak om potentiële slachtoffers te waarschuwen, zodat zij maatregelen kunnen treffen voor hun digitale veiligheid.  We stellen bovendien vast dat het advies om veiligheidseisen te stellen bij inkoop van software ook voor gemeenten als gebruikers van software relevant is. Deze inkoopeisen worden bij voorkeur niet door individuele gebruikers separaat opgesteld.  

Dat geldt ook voor de constateringen over het delen van expertise en de naadloze samenwerking tussen publieke en private organisaties op het gebied van digitale veiligheid. We onderschrijven de aanwijzing voor een wettelijke basis voor de beheersing van digitale veiligheid. Gemeenten werken nu vijf jaar met een systematiek van enkelvoudige en eenduidige verantwoording over de informatieveiligheid, ENSIA, welke aansluit op de planning- en controlcyclus. 

De VNG ondersteunt haar leden om hun digitale weerbaarheid op pijl te krijgen en te houden. De VNG-Informatiebeveiligingsdienst IBD is het aangewezen sectorale Computer Emergency Response Team, of Computer Security Incident Response Team (CERT/CSIRT) voor gemeenten. De VNG/IBD waarschuwt gemeenten en gemeenschappelijke regelingen en ondersteunt hen op vraag bij incidenten. Het recent gepubliceerde Dreigingsbeeld Informatiebeveiliging Nederlandse gemeenten 2023-2024 bevat concrete succesfactoren waar gemeenten mee aan de slag kunnen om de ‘basis op orde te krijgen’. Hiervan zijn inmiddels ook bestuurlijke prioriteiten uitgebracht.