De nieuwe Network and Information Systems Directive (NIS2-richtlijn) heeft belangrijke implicaties voor gemeenten als het gaat om toezicht op informatiebeveiliging. In tegenstelling tot de oorspronkelijke richtlijn (uit 2016) vallen (lokale) overheidsinstanties nu ook onder de NIS2. 

De richtlijn is sinds begin dit jaar van kracht. EU-lidstaten zijn verplicht deze uiterlijk 17 oktober 2024 in nationale wetgeving om te zetten. Eén van de vragen is alleen of en in hoeverre de lokale overheid onder deze richtlijn zal vallen.

Zorgplicht, meldplicht en sancties

In Nederland is het ministerie van Justitie en Veiligheid (J&V) verantwoordelijk voor het opstellen van de Wet beveiliging netwerk- en informatiesystemen (Wbni), waarin de NIS2-richtlijn is opgenomen. In het kader van de zorgplicht worden de normen uit de Baseline Informatiebeveiliging Overheid (BIO) in de Wbni, ook voor gemeenten. En er komt een wettelijke meldplicht voor incidenten op informatiebeveiliging. Er komen sanctie te staan op inbreuken op de NIS2-richtlijn.

Nog niet helder

De uitwerking van NIS2 vergt een nauwe samenwerking tussen verschillende ministeries, zoals BZK, J&V, I&W en VWS en lokale overheden. Ook zijn er nog een aantal zaken niet helder. De belangrijkste vragen houden verband met de toepasselijkheid van de richtlijn op Nederlandse gemeenten en hoe dit zich verhoudt tot bestaande structuren als de BIO, ENSIA en de informatiebeveiligingsdienst voor gemeenten.

 Denk hierbij bijvoorbeeld aan verkeer, weg- en waterbeheer en de zorgsector. Dit zijn processen die in de NIS2-richtlijn met name zijn genoemd en die in Nederland lokaal georganiseerd zijn. Van deze nadere regelgeving is nog niet duidelijk wat de exacte scope wordt en dus ook niet wat de impact op gemeenten zal zijn.

De VNG zet zich in om het gemeenten zo makkelijk mogelijk te maken. Het gaat dan ten eerste om duidelijkheid over de scope en de verantwoordelijkheidsverdeling tussen de betrokken partijen. Ten tweede over geharmoniseerd toezicht op informatiebeveiliging bij de overheid en ten derde over vermindering van de auditlast. En tot slot voor haalbare en uitvoerbare regelgeving voor lokale overheden.

Nu al aan de slag

Gezien het feit dat gemeenten nu al een zorgplicht (BIO), een meldplicht (Informatiebeveiligingsdienst, IBD) en toezicht (Eenduidige Normatiek Single Information Audit, ENSIA) hebben zal de impact van NIS2 voor gemeenten afhankelijk zijn van de mate waarin nu al gedocumenteerd voldaan wordt aan de BIO. Daarom is het cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO.

Deze NIS2 regeling en de uitwerking van de Wbni staat niet op zich. Tussen nu en 2026 krijgen gemeenten te maken met 13 nieuwe regelgevende initiatieven op het gebied van digitalisering en cybersecurity. De wetten moeten in samenhang worden bekeken, niet afzonderlijk. VNG stelde hiertoe een impactanalyse op.

Meer informatie over de richtlijn treft u op de website van Europa Decentraal, maar ook door je aan te melden voor de VNG klankbordgroep NIS2 op online platform Pleio. Hier wordt de meest actuele informatie gedeeld en ook worden er online bijeenkomsten georganiseerd.

De VNG staat klaar om gemeenten te helpen, dus neem vooral contact met ons op via teamadv@vng.nl