Zorgen over impact Europese richtlijn NIS2 op gemeenten

Gemeenten hebben nog nauwelijks de kans gehad om mee te praten over het opnemen van de Europese netwerkbeveiligingsrichtlijn NIS2 in de nationale wetgeving. Het lijdzaam afwachten tot de ministeries tot keuzes komen geeft stress. ‘Het gaat allemaal af van onze implementatietijd.’

Cyberburgemeesters maken zich zorgen

Om Europa beter te beschermen tegen bedreigingen van buitenaf is er sinds 2020 vanuit de Europese Unie gewerkt aan twee richtlijnen. De CER-richtlijn gaat over fysieke risico’s, zoals terrorisme en natuurrampen. De Network and Information Security (NIS2)-richtlijn richt zich op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De Europese lidstaten hebben tot 18 oktober 2024 de tijd om de NIS2-richtlijn op te nemen in nationale wetgeving. Onder de nieuwe NIS valt een groot aantal sectoren, waaronder voor het eerst ook overheden. De rijksoverheid kondigde een consultatie-periode aan voor de zomer van 2023, maar tot op heden valt er niets te consulteren. En dat baart de cyberburgemeesters ernstig zorgen.

Scope NIS2 nog niet zeker

Het is nog onduidelijk wat de scope wordt van NIS2 in Nederland en hoe de gemeenten daarbinnen worden gepositioneerd. Of ze straks gelden als ‘essentieel’ of als ‘belangrijk’, maakt uit voor de hoeveelheid toezicht op hun taken. Afhankelijk van de scope en de positionering wacht de gemeenten een bepaalde verantwoordingslast, al is ook nog niet duidelijk hoe ze zich precies per betrokken ministerie moeten verantwoorden.

Snel duidelijkheid nodig

Namens het platform van cyberburgemeesters zegt Rian van Dam, burgemeester van Hollands Kroon: ‘De rijksoverheid moet keuzes maken die een enorme impact kunnen hebben op de implementatie van NIS2. Zolang we niet weten wat de omzetting van de richtlijn naar nationale wetgeving behelst, kunnen wij ons niet voorbereiden. Er moet heel snel duidelijkheid komen.’ Onder het motto ‘Geen NIS2 in de keten zonder dat we meer weten’ wordt een motie met deze strekking ingediend op het VNG-congres op 13 en 14 juni.

Weinig coördinatie en afstemming

Tegen NIS2 is niemand. Een betere en meer gestroomlijnder beveiliging van de Europese netwerk- en informatiesystemen is voor alle overheden een positieve zaak. Waar het volgens de cyberburgemeesters aan ontbreekt, is coördinatie en afstemming tussen de betrokken ministeries: Binnenlandse Zaken en Koninkrijksrelaties (BZK), Justitie en Veiligheid (J en V) en Infrastructuur en Waterstaat (I en W). Er doen vijf scenario’s de rondte, met daarbinnen nogal wat variatie in waar de gemeenten uiteindelijk aan moeten voldoen.

Gemeenten niet laten bungelen

Als cyberburgemeester en lid van de Commissie Informatiesamenleving van de VNG ziet Van Dam de onrust toenemen onder de gemeentelijke chief information security officers (CISO’s). Richt NIS2 zich straks alleen op de kritische processen binnen de gemeenten, of op de algehele dienstverlening inclusief alle ketenpartners? Geldt de verantwoordingsplicht straks in dezelfde mate voor alle gemeenten, ongeacht de grootte? ‘We willen helder hebben wát er gaat gebeuren en of het proportioneel is,’ zegt Van Dam. ‘Dit heeft ook consequenties voor bestuurlijke verantwoordelijkheid. Je kunt de gemeenten niet zo laten bungelen als nu gebeurt.’

Melding van losse stoeptegel

De grote nachtmerrie van CISO Frans Hut, werkzaam bij de gemeente Haarlem en sprekend namens de beroepsgroep, is dat iedere melding van een losse stoeptegel straks volledig onder NIS2 valt. Die stoeptegel is onderdeel van een weg en daarmee van de vitale infrastructuur, zou dan de redenering zijn, met een aanzienlijke administratieve rompslomp tot gevolg. ‘Ik hoop niet dat we een heel intensief verantwoordingsmechanisme krijgen, waardoor beveiligers minder tijd overhouden voor het daadwerkelijke beveiligen.’

Liever een onaf voorstel

Maar het is vooral het niet weten dat hem parten speelt. ‘We zijn allemaal vóór deze wetgeving, maar ik wil liever vandaag dan morgen weten wat ik moet regelen, met leveranciers, maar bijvoorbeeld ook met de GGD, als de scope zich daartoe uitstrekt.’ Hij ziet de denktijd op de ministeries ten koste gaan van de implementatietijd van zijn collega’s. ‘Liever ontvang ik als professional een voorstel vanuit de rijksoverheid dat nog niet volledig is maar waarover we kunnen praten, dan dat er over een paar maanden een stuk ligt waar niets meer aan te wijzigen is.’