Vanaf 18 oktober 2024 moeten decentrale overheden voldoen aan de cyberbeveiligingsvereisten onder de Netwerk- en informatiebeveiliging richtlijn (‘NIS2’). Hoewel de Nederlandse regering de NIS2 niet op tijd zal hebben omgezet in nationale wetgeving, wordt de Richtlijn op 18 oktober 2024 toch van toepassing. In dit artikel bespreken we de stand van zaken en de impact van de NIS2 op de korte termijn: Wat is het belang van cyberbeveiliging en welke verplichtingen brengt dit met zich mee?
Waarom is cyberbeveiliging belangrijk voor decentrale overheden?
De veiligheid van de Europese Unie (EU), de lidstaten en haar burgers staat steeds meer onder druk door toenemende cyberdreiging van binnen en van buiten de EU. Dit komt mede doordat de afgelopen decennia het functioneren van de Europese maatschappij en economie sterk afhankelijk is geworden van digitale diensten en voorzieningen. Deze afhankelijkheid vergroot het risico op cyberaanvallen die de maatschappij en de economie ernstig ontwrichten en de veiligheid en privacy van burgers in gevaar brengen.
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in 2023 gerapporteerd over digitale dreigingen, digitale weerbaarheid en digitale risico’s. De NCTV bevestigt dat succesvolle cyberaanvallen kunnen leiden tot zeer ernstige (im)materiële schade en veiligheidsdreigingen. Iedere persoon of organisatie is kwetsbaar voor een cyberaanval. Decentrale overheden, in het bijzonder gemeenten, zijn aantrekkelijke doelwitten voor zowel binnen- als buitenlandse cybercriminelen, omdat de gevolgen van cyberaanvallen, specifiek ransomware, groot kunnen zijn en deze overheden eerder bereid zijn om de ‘gegijzelde’ gegevens terug te kopen. Als uitvoerders van centraal beleid beschikken gemeenten daarnaast over veel gevoelige informatie die buitenlandse cybercriminelen kunnen gebruiken voor manipulatie, desinformatie of intimidatie. Denk hierbij aan de adres- of contactgegevens van burgers of gegevens van Oekraïense vluchtelingen.
Tot slot blijkt uit hetzelfde rapport van de NCTV en een rapport van de Informatie Beveiligingsdienst (IBD) dat gemeenten te weinig geld investeren in digitale weerbaarheid door gebrek aan bewustzijn. Cybersecurity en preventie van cyberincidenten staan niet hoog op de budgetagenda doordat cyberrisico’s abstract zijn in tegenstelling tot fysieke incidenten, zoals een brand of overstroming.
Enkele voorbeelden van cyberaanvallen:
- Een data-lek bij een overheidsinstantie dat cybercriminelen mogelijk toegang geeft tot (persoons)gegevens of geheime documenten.
- Het hacken van digitale systemen in essentiële sectoren, zoals infrastructuur, openbaar vervoer, betalingssystemen of gezondheidszorg. Zulke hacks kunnen gevaarlijke situaties veroorzaken, zoals het ontregelen van sluizen of spoorwissels, het blokkeren van geldtransacties of het uitschakelen van ziekenhuisapparatuur.
Zijn decentrale overheden verplicht de NIS2 na te leven ondanks verlate implementatie?
Een van de grote vraagstukken rondom de NIS2 is of decentrale overheden moeten voldoen aan de NIS2 ondanks dat de Nederlandse regering deze nog niet heeft omgezet in nationale wetgeving. Het antwoord is complex. Centrale en regionale overheden worden onder de NIS2 beschouwd als ‘essentiële entiteiten’ (artikel 2 lid 2 onder f, artikel 3 lid 1 onder d en e, en bijlage I). Lidstaten kunnen zelf bepalen of zij lokale overheden scharen onder de categorie essentiële entiteiten. Het Nederlandse wetsvoorstel voor de Cyberbeveiligingswet (Cbw) ziet provincies, gemeenten en waterschappen als essentiële entiteiten.
Tot de inwerkingtreding van de Cbw kunnen decentrale overheden zelf kiezen of zij NIS2 naleven. Niettemin moeten decentrale overheden rekening houden met de rechten van particulieren die voortvloeien uit het Europese grondbeginsel van rechtstreekse werking. In geval van een geschil of schade kunnen particulieren zich rechtstreeks tegen een decentrale overheid beroepen op hun rechten onder de NIS2. De Rijksoverheid is volgens Europees recht verantwoordelijk en aansprakelijk tegenover de Europese Commissie.
De Rijksoverheid raadt de provincies, gemeenten en waterschappen aan om niet af te wachten met het nemen van risicobeheersmaatregelen en het melden van cyberdreigingen en -aanvallen aan het Nationaal Cyber Security Centrum (NCSC). Zie ook onze uitgebreide uitleg over non-implementatie, rechtstreekse werking en verplichtingen onder de NIS2.
De Rijksoverheid raadt de provincies, gemeenten en waterschappen aan om niet af te wachten met het nemen van risicobeheersmaatregelen en het melden van cyberdreigingen en -aanvallen aan het Nationaal Cyber Security Centrum.
Welke verplichtingen krijgen decentrale overheden na de implementatie van NIS2?
Zodra de Cbw in werking treedt en daarmee de NIS2 omzet in nationale wetgeving, moeten decentrale overheden zich houden aan een reeks verplichtingen onder de NIS2. Deze verplichtingen moeten de cyberveiligheid verbeteren en de kans op cyberincidenten verlagen. De vier belangrijkste verplichtingen worden hieronder kort uitgelicht:
- Registratieplicht: decentrale overheden moeten zich registeren bij het nationale Computer Security Incident Response Team (CSIRT). In Nederland is dat het NCSC.
- Zorgplicht: decentrale overheden moeten voor hun netwerk- en informatiesystemen zelfstandig risicoanalyses uitvoeren en op basis daarvan beveiligingsmaatregelen nemen. Voorbeelden van zulke maatregelen zijn het versleutelen van gegevens, het instellen van meervoudige verificatie of het opstellen van protocollen voor het afhandelen van datalekken.
- Meldplicht: decentrale overheden moeten ‘significante incidenten’ binnen 24 uur melden bij de bevoegde CSIRT en het NCSC. Binnen 72 uur moet de getroffen overheid een beoordeling van de ernst en gevolgen van het incident melden. Na één maand moet de getroffen overheid een gedetailleerd rapport opstellen over de oorzaken en gevolgen van het incident en welke maatregelen genomen zijn na het incident.
- Toezicht: de Rijksinspectie Digitale Infrastructuur zal voortdurend streng toezicht houden op de naleving van de NIS2 en Cbw door decentrale overheden.
Conclusie
Al met al dragen decentrale overheden een grote verantwoordelijkheid voor het beschermen van de maatschappij en de rechten van burgers tegen toenemende cyberdreigingen. Het is daarom van wezenlijk belang dat decentrale overheden zich bewust zijn van deze verantwoordelijkheid en niet wachten tot de inwerkingtreding van de Cbw met het nemen van maatregelen ter voorkoming van cyberinbreuken.
Meer informatie
Kenniscentrum Europa Decentraal, NIS2-richtlijn digitale tijdlijn
Kenniscentrum Europa Decentraal, Moeten decentrale overheden zelfstandig en rechtstreeks aan de NIS2-verplichtingen voldoen?
Bronnen
Nationaal Coördinator Terrorismebestrijding en Veiligheid, Cybersecuritybeeld Nederland 2023
Informatie Beveiligingsdienst, IBD Dreigingsbeeld