Medeoverheden worden essentieel verklaard onder de NIS2-wetgeving, dat schrijft demissionair staatssecretaris van Huffelen in een brief aan IPO, UvW en VNG. Dit betekent dat er onder andere een wettelijke zorg- en meldplicht komt voor ernstige digitale dreigingen en incidenten.
Nieuw is dat er naast toezicht achteraf, ook toezicht vooraf komt op de beveiliging van de gemeentelijke ICT. Gemeenschappelijke regelingen vallen ook onder de NIS2 (mits zij aan de juiste criteria voor overheidsinstanties uit de richtlijn voldoen).
Vragen blijven
De wetgever vertaalt momenteel de NIS2-richtlijn naar nationale wetgeving. De uitwerking hiervan vergt nauwe samenwerking tussen verschillende ministeries (waaronder BZK, J&V, I&W en VWS) en de sectoren waarop de richtlijn van toepassing wordt, waaronder lokale overheden. In dit proces staan nog een aantal vragen open.
De belangrijkste vragen houden verband met de exacte uitwerking van de zorgplicht en het toezichtstelsel. De staatssecretaris wil de eisen van NIS2 meenemen in de vernieuwde Baseline Informatiebeveiliging Overheid (BIO) en deze wettelijk vastleggen. Daarnaast wil zij ook bestaande toezichts- en verantwoordingsinstrumenten, waaronder de Eenduidige Normatiek Single Information Audit (ENSIA), blijven gebruiken en versterken.
De VNG dringt er bij het rijk op aan dat de regeling uitvoerbaar en betaalbaar is en dat de administratieve lasten in balans zijn met de bedoeling van de wet: het verhogen van de digitale veiligheid in Europa.
Hoe kunnen gemeenten zich voorbereiden op NIS2?
Gezien het feit dat gemeenten nu al een zorgplicht, meldplicht (IBD) en toezicht hebben zal de impact van NIS2 voor gemeenten afhankelijk zijn van de mate waarin nu al gedocumenteerd voldaan wordt aan de BIO. Daarom is het cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO.
Het is ook belangrijk om dit proces te documenteren zodat de gemeenteraad en de (nog te benoemen) centrale toezichthouder hun rol goed kunnen invullen. Hoewel er nog onduidelijkheid is kunnen gemeenten dus wel vast aan de slag.
Over de NIS2-richtlijn
De Network and Information Security directive - NIS2 (pdf, 1MB) van de EU is bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.
Meer informatie
- Brief NIS2 bij de overheid van de staatssecretaris
- Nieuws en updates NIS2
- VNG-klankbordgroep NIS2 op online platform Pleio.