Een op de vijf decentrale overheden moet nog beginnen met de implementatie van NIS2. Iets meer dan een kwart heeft een implementatieplan voor de Europese richtlijn voor cyberveiligheid. Ongeveer de helft is begonnen met de voorbereidingen. Acht procent geeft aan volledig te zijn voorbereid. Dat blijkt uit een onderzoek onder voornamelijk CISO’s.
Kwart decentrale overheden klaar voor NIS2
‘Zorgen dat we in control zijn’ klinkt goed, maar wat betekent het?
Voorbereiding
Aan de enquête van cyberbeveiligingsbedrijf Triple Control deden 41 gemeenten, 8 regionale samenwerkingsorganen en 1 provincie mee. De onderzoekers wilden weten hoe het is gesteld met de kwaliteit van de informatiebeveiliging bij de decentrale overheid.
De Cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn, wordt verwacht in het tweede kwartaal van 2026 (althans, demissionair minister Van Weel hoopt dat hij dan in werking treedt). Maar aangezien criminelen en statelijke actoren niet gaan afwachten tot Nederland z’n wet af heeft, wordt decentrale overheden van alle kanten aangeraden om zich toch vooral alvast voor te bereiden.
Baseline
Lukt dat? Wie het onderzoek leest, heeft reden voor twijfel. Minder dan de helft van de respondenten vindt dat hun organisatie voldoende en effectieve beveiligingsmaatregelen heeft genomen. Zestig procent is tevreden over de technische bescherming tegen cyberaanvallen. Dat is opvallend, omdat alle organisaties moeten voldoen aan de bestaande Baseline Informatiebeveiliging Overheid (BIO), het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Op papier hebben ze allemaal dezelfde eisen geïmplementeerd.
‘We zouden verwachten dat dit op zo’n niveau is gebeurd dat onderling verschil in volwassenheid nog wel zou kunnen bestaan, maar dat organisaties niet onder een baseline zouden moeten komen’, schrijven de onderzoekers. ‘Dat niet meer respondenten zich positief uitspreken over de technische infrastructuur geeft te denken’.
Niet serieus genoeg
Bijna de helft van de respondenten, voor het merendeel Chief Information Security Officers (86 procent), vindt dat hun collega’s informatiebeveiliging niet serieus genoeg nemen. 58 procent herkent de eigen situatie in deze beschrijving: ‘Uit het beleid spreken goede intenties, maar er is onvoldoende navolging’.
Ook het hoger management komt beroerd uit het onderzoek. Slechts veertig procent van de respondenten vindt dat het senior management de risico’s begrijpt en passend handelt. Twintig procent is zelfs uitermate negatief over hun leidinggevenden als het op de informatiebeveiligingsstrategie aankomt.
Aanbevelingen
Het bedrijf geeft een aantal aanbevelingen voor decentrale overheden, zoals dat de BIO 2.0 een kans voor overheden biedt om voor een groot deel te voldoen aan de NIS2. Dat bevestigt ook de toezichthouder. Daarnaast helpt het om een concrete definitie vast te stellen van wat ‘in control’ zijn betekent. Het klinkt zo lekker, ‘we moeten zorgen dat we in control zijn’, maar wat bedoelen we ermee? En bedoelen we allemaal hetzelfde?
Maak goed beleid dat makkelijk op te volgen is – klinkt als een open deur, maar beleid dat alleen op papier werkt, daar heeft niemand wat aan. Goed beleid sluit aan bij het werkproces, is begrijpelijk en uitvoerbaar. Daarom is het ook belangrijk dat de relatie tussen de risico’s en de maatregelen expliciet wordt gemaakt, in plaats van dat medewerkers eigenlijk geen flauw idee hebben waarom ze bijvoorbeeld tweefactorauthenticatie moeten gebruiken. De laatste aanbeveling luidt om te leren van incidenten – organisaties geven aan dat incidenten snel worden opgelost, maar dat er weinig achterom wordt gekeken.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.