6 cybersecurity-acties die gemeenten vandaag nog moeten overwegen

De gemeenteraadsverkiezingen zijn achter de rug. Nieuwe colleges zetten nu de koers uit voor de komende jaren. Voor cybersecurity betekent dat: doorpakken en de basis verder versterken. Dat vraagt erom dat dit onderwerp een plek krijgt in het collegeprogramma en het college-uitvoeringsprogramma. 

Op basis van onze ervaring bij tientallen gemeenten hebben we zes aanbevelingen waarmee gemeenten nú het verschil maken op het gebied van cybersecurity, compliance en digitale weerbaarheid.  

Aanbeveling 1: Onderneem nu actie voor de Cyberbeveiligingswet (Cbw)

Gemeenten staan aan de vooravond van een ingrijpende verandering in hun aanpak van digitale veiligheid. De nieuwe Cyberbeveiligingswet (Cbw) is in de Tweede Kamer uitgebreid besproken en ligt op koers om in de loop van 2026 in werking te treden. Deze wet vormt de Nederlandse vertaling van de Europese NIS2‑richtlijn. Met de Cbw worden de eisen aan cyberweerbaarheid, bestuurlijke verantwoordelijkheid en toezicht aanzienlijk aangescherpt. 

Juist nu nieuwe raden en colleges zijn aangetreden, is dit hét moment om in actie te komen. Voor gemeenten is het belangrijk om hier op korte termijn mee te starten. Die beweging is al zichtbaar. Proactieve gemeenten kopen trainingen tijdig in, beleggen de regie bij securitymanagers en zorgen voor goede interne borging. 

Wie te lang wacht met organiseren en inkopen, loopt tegen een praktisch probleem aan: trainingen moeten last‑minute worden ingepland in volle agenda’s. Gemeenten die nu beginnen, voorkomen dat ze in de problemen komen wanneer de deadline nadert. Deze ontwikkeling onderstreept dat cybersecurity steeds minder een IT‑onderwerp is en steeds nadrukkelijker een bestuurlijke verantwoordelijkheid wordt. 

Aanbeveling 2: Meer focus op technische validatie 

Veel gemeenten hebben de afgelopen jaren sterk ingezet op compliance rond NIS2, BIO en andere wet- en regelgeving. Beleidsdocumenten, procedures en documentatie zijn vaak goed op orde. In de praktijk zien we echter dat systemen daar niet altijd volledig op aansluiten. Bijvoorbeeld doordat uitzonderingen zijn ontstaan, of omdat maatregelen anders zijn ingericht dan vastgelegd. 

Dit leidt tot blinde vlekken. Systemen lijken veilig, maar blijken in de praktijk kwetsbaar. Daarom reserveren steeds meer gemeenten structureel ruimte voor technische validatie. Ethische hackers en penetratietesters onderzoeken kernsystemen, brengen kwetsbaarheden in kaart en helpen gemeenten hun fundamenten daadwerkelijk te versterken. 

Tijdens deze validaties zien we welke kwetsbaarheden nog openstaan. Na jaren van beveiligingsinspanningen zou je verwachten dat het steeds lastiger wordt om systemen binnen te dringen. Toch leverde een rondvraag onder onze ethische hackers over hoe zij in 2025 systemen wisten te compromitteren de volgende top 5 op: 

1. zwakke en makkelijk te raden wachtwoorden; 
2. hergebruik van wachtwoorden uit gelekte systemen; 
3. gevoelige informatie onversleuteld opgeslagen op via het netwerk benaderbare opslagmedia; 
4. verouderde software die eenvoudig te misbruiken is; 
5. misconfiguraties in kritieke systemen. 

Veel van deze kwetsbaarheden zijn al afgedekt in standaarden en komen regelmatig terug in bewustwordingscampagnes. Dat ze in 2025 nog steeds veelvuldig worden aangetroffen, laat zien dat technische validatie een vast onderdeel zou moeten zijn van iedere organisatie die informatiebeveiliging serieus neemt.

Aanbeveling 3: Digitale soevereiniteit – van strategie naar actie 

In grote delen van de wereld zorgen oorlogen, conflicten en politieke verschuivingen voor onrust. Tegelijkertijd zijn veel organisaties nog sterk afhankelijk van buitenlandse partners of Amerikaanse techbedrijven. De vraag is in hoeverre dat wenselijk blijft. Gemeenten kijken daarom kritischer naar hun digitale afhankelijkheden. Waar staat de data? Wie heeft er toegang toe? Onder welke wetgeving valt deze? Welke systemen zijn cruciaal en wat is de back‑up‑ of exitstrategie? 

Digitale soevereiniteit staat hoog op de agenda, maar alleen nadenken over strategie is niet voldoende. Gemeenten die te lang besluiteloos blijven, riskeren stilstand. Zoals de spreekwoordelijke ezel van Buridan: wie geen keuze maakt, zet zichzelf klem. 

We zien dat gemeenten kiezen voor kleine, haalbare stappen, hun ambitie realistisch vastleggen en technisch advies inschakelen. Zo ontwikkelen zij een strategie voor digitale autonomie die grip geeft op data, processen en leveranciers en tegelijkertijd aansluit bij de dagelijkse praktijk. A

Aanbeveling 4: Maak het beveiligen van OT‑omgevingen onderdeel van het cyberplan

Steeds meer systemen zijn verbonden met het netwerk of internet, maar zijn geen klassieke computers. Denk aan gebouwbeheersystemen, verkeersregelinstallaties, sluizen, bruggen en ook laadpalen, zonneparken en windturbines. Deze operationele technologie (OT) wordt binnen NIS2 expliciet meegenomen, omdat verstoringen direct gevolgen kunnen hebben voor vitale processen. 

Gemeenten moeten daarom niet alleen hun IT‑omgeving beveiligen, maar ook deze OT‑systemen structureel meenemen in hun beveiligings- en monitoringsaanpak. Dat begint met inzicht: welke systemen zijn kritisch, wie is waarvoor verantwoordelijk en welke risico’s moeten worden beheerst? Veel van deze systemen spelen bovendien een rol in de energietransitie. Door OT‑beveiliging en duurzaamheid in samenhang te bekijken, krijgen gemeenten meer grip op hun digitale én fysieke weerbaarheid. 

Aanbeveling 5: Neem Artificial Intelligence (AI) mee als onderdeel van het cyberplan

 Organisaties experimenteren in toenemende mate met Artificial Intelligence (AI). AI biedt kansen om efficiënter te werken en kan helpen bij het opvangen van vergrijzing en personeelstekorten. BDO ontvangt steeds vaker verzoeken om AI‑risico’s in kaart te brengen en AI‑oplossingen te testen. Incidenten, zoals oplossingen die ongemerkt aanvallers toegang gaven tot vertrouwelijke e‑mailstromen, databases verwijderden of gevoelige informatie van inwoners van andere gemeenten toonden, laten zien dat AI ook nieuwe risico’s introduceert. 

AI vraagt daarom om dezelfde mate van beheersing en toetsing als andere kritieke technologie. Wij adviseren gemeenten om AI expliciet op te nemen als onderdeel van hun cybersecurity‑ en risicobeheersingsbeleid. 

Aanbeveling 6: Wacht niet op een startschot, start vandaag 

De Cyberbeveiligingswet komt snel dichterbij. Wachten tot de wet formeel van kracht is, vergroot het risico op achterstand, juist in een periode waarin nieuwe bestuurders hun koers bepalen. Ook aanvallers, zoals ransomwarecriminelen, spionnen en zogenoemde ‘thrill seekers’, wachten niet af. Zij richten zich op het steeds groter wordende aanvalsoppervlak en zoeken actief naar de eerste zwakke plek. Wacht daarom niet, maar ga dit college nog aan de slag met het vergroten van de cybersecurityvolwassenheid van uw organisatie. 

BDO ondersteunt gemeenten in alle fases van cybersecurity 

Voor gemeenteraadsleden die zich willen verdiepen in cybersecurity om het college kritisch te kunnen bevragen, heeft de Vereniging van Nederlandse Gemeenten (VNG) een gratis serious game voor raadsleden (Code Nattemeren - Crisis 2026). Deze interactieve e‑learning plaatst raadsleden in realistische scenario’s rondom cyberincidenten, datalekken en bestuurlijke afwegingen. Niet om hen tot IT‑specialist te maken, maar om bestuurlijke scherpte en controlerende vaardigheden te versterken. 

BDO ondersteunt gemeenten dagelijks bij het versterken van hun cybersecurity. Dankzij onze mantelovereenkomst zijn wij hoofdpartij voor cyberweerbaarheid bij ruim 75 gemeenten. Van technische validatie en NIS2‑compliance tot OT‑beveiliging en strategievorming: we leveren maatwerk en helpen gemeenten hun digitale weerbaarheid aantoonbaar te verbeteren.