Digitale veiligheid is voor gemeenten een onmiskenbare bestuurlijke verantwoordelijkheid, maar de inrichting ervan blijft achter bij de realiteit van digitale dreigingen. Dat is de kernboodschap van het onderzoeksrapport Cyberweerbaarheid binnen gemeentegrenzen, dat eind 2025 samen met een Kamerbrief aan de Tweede Kamer is gestuurd. Het rapport laat zien dat gemeenten steeds vaker worden geconfronteerd met digitale incidenten, terwijl het bestuurlijke en organisatorische fundament om daarop te sturen nog ondermaats is.
Waarom gemeenten worstelen met regie voeren over cybersecurity
Gemeenten in de problemen door versnipperde eisen, beperkte capaciteit en afhankelijkheden in de leveranciersketen.
In zijn begeleidende brief schetst de staatssecretaris Digitalisering Eddie van Marum de urgentie: de hybride dreiging neemt toe door geopolitieke ontwikkelingen en digitalisering, waardoor sabotage, cyberaanvallen en informatieoperaties in omvang en intensiteit groeien. Deze ontwikkelingen raken volgens hem ook het lokaal bestuur. Het rapport maakt duidelijk dat gemeenten nog onvoldoende zijn toegerust voor deze verantwoordelijkheid.
Oude structuren
Een fundamenteel probleem is dat het bestaande veiligheidsstelsel grotendeels is ontworpen voor fysieke incidenten. Digitale incidenten volgen echter een ander patroon. Ze schalen grillig op, zijn moeilijk voorspelbaar, verlopen vaak simultaan en hebben geen duidelijke geografische begrenzing. Daardoor sluiten bestaande crisisstructuren, opschalingsmechanismen en verantwoordelijkheidsverdelingen niet vanzelfsprekend aan.
Het rapport laat zien dat dit leidt tot bestuurlijke onzekerheid. Wie voert de regie bij een digitaal incident dat maatschappelijke ontwrichting veroorzaakt? Wanneer is opschaling nodig, en naar welk niveau? En wie beschikt over voldoende informatie om tijdig bestuurlijke besluiten te nemen? Deze vragen zijn volgens de onderzoekers nog onvoldoende beantwoord, terwijl ze juist in de warme fase van incidenten cruciaal zijn.
Balans tussen beleid en praktijk
Een tweede knelpunt is de scheefgroei tussen beleid en uitvoering. Het onderzoek brengt een uitgebreid beleidslandschap in kaart, maar constateert dat dit beleid vooral is gericht op preventie en voorbereiding. Juist in de fase waarin gemeenten wettelijke taken hebben voor respons en nazorg, is het beleid fragmentarisch en beperkt uitgewerkt. Dat is bestuurlijk relevant, omdat gemeenten en burgemeesters in die fase verantwoordelijk zijn voor het beperken van maatschappelijke gevolgen en het handhaven van openbare orde en veiligheid. Het rapport concludeert dat onvoldoende duidelijk is of het bestaande beleid gemeenten hierbij voldoende houvast biedt, of dat aanvullende handreikingen en afspraken nodig zijn.
Verantwoordelijkheid zonder overzicht
Voor de interne digitale veiligheid van gemeentelijke processen geldt dat gemeenten primair zelf verantwoordelijk zijn. Die verantwoordelijkheid wordt de komende jaren verzwaard door de Cyberbeveiligingswet, waarin de NIS2-richtlijn wordt omgezet. Gemeenten krijgen een zorgplicht en meldplicht en komen onder toezicht te staan van de Rijksinspectie voor Digitale Infrastructuur.
Het rapport maakt echter duidelijk dat gemeenten nu al worstelen met versnipperde eisen, beperkte capaciteit en afhankelijkheden in de leveranciersketen. Instrumenten als de Baseline Informatiebeveiliging Overheid en ENSIA bieden structuur, maar vragen om verdere doorontwikkeling om gemeenten daadwerkelijk te ontlasten. De staatssecretaris onderkent dit en stelt dat investeringen nodig zijn om bestaande verantwoordingssystematieken beter te laten aansluiten op nieuwe wetgeving.
Ontwrichting binnen gemeentegrenzen
Een van de grootste bestuurlijke uitdagingen zit bij cyberincidenten met maatschappelijke ontwrichting binnen gemeentegrenzen. Het rapport laat zien dat gemeenten formeel vooral bevoegdheden hebben in de respons- en nazorgfase, maar dat in de praktijk onduidelijkheid bestaat over regie en mandaat, zeker wanneer private en publieke organisaties betrokken zijn.
De onderzoekers constateren dat gemeenten behoefte hebben aan meer duidelijkheid over hun rol, maar dat eerst moet worden vastgesteld hoe breed deze behoefte leeft en welke oplossingsrichtingen realistisch zijn. De staatssecretaris bevestigt dat deze behoefte bestaat en kondigt aan dat aanbevelingen uit het rapport worden opgepakt, onder meer via scenariosessies en de actualisatie van het Landelijk Crisisplan Digitaal.
Vervolgstappen
De rapporteurs benadrukken dat vervolgstappen nodig zijn om cybersecurity bestuurlijk op de rit te krijgen. Dat betekent volgens de staatssecretaris niet het optuigen van nieuwe structuren, maar het beter verbinden van bestaande initiatieven en het optreden als één overheid om versnelling te realiseren.
Reacties: 1
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Digitale veiligheid speelt al zo'n 40 jaar. Stapsgewijs geïncorporeerd in wet- en regelgeving. Standaarden, richtlijnen, en aanbevelingen bestaan al langer.
Tot op vandaag is de houding binnen de overheid, van Rijk tot gemeente, één van 'moeilijk, moeilijk, ingewikkeld, veel werk, duur'.
Terwijl het simpel, simpel is, weinig werk, en goedkoop.
De verantwoordelijken duiken weg voor hun verantwoordelijkheid, delegeren, besteden uit, laten zich paaien door leveranciers. En laten onderzoeken doen als het fout gaat, om vervolgens te roepen 'te hebben geleerd' en beterschap te beloven.
Leervermogen ........ 0,0
De verantwoordelijken hebben dus gewoon hun huiswerk niet gedaan, hebben hun eigen IT-medewerkers in de hoek gezet, en zijn vervolgens door het ijs gezakt.
Rode lijn is al decennia één van herhaling van fouten, en van rapporten die alleen maar recyclen wat al bekend was.
Leervermogen ........ 0,0