Nieuwe stappen NIS2, vragen blijven

Nieuw is dat er naast toezicht achteraf, ook toezicht vooraf komt op de beveiliging van de gemeentelijke ICT. Gemeenschappelijke regelingen, zoals shared servicecentra die ICT beheren voor meerdere gemeenten, vallen ook onder de NIS2 (mits zij aan de juiste criteria voor overheidsinstanties uit de richtlijn voldoen).

Vragen blijven

De wetgever vertaalt momenteel de NIS2-richtlijn naar nationale wetgeving. De uitwerking hiervan vergt nauwe samenwerking tussen verschillende ministeries (waaronder BZK, J&V, I&W en VWS) en de sectoren waarop de richtlijn van toepassing wordt, waaronder lokale overheden. In dit proces staan nog een aantal vragen open.

De belangrijkste vragen houden verband met de exacte uitwerking van de zorgplicht en het toezichtstelsel. De staatssecretaris wil de eisen van NIS2 meenemen in de vernieuwde Baseline Informatiebeveiliging Overheid (BIO) en deze wettelijk vastleggen. Daarnaast wil zij ook bestaande toezichts- en verantwoordingsinstrumenten, waaronder de Eenduidige Normatiek Single Information Audit (ENSIA), blijven gebruiken en versterken.

De VNG dringt er bij het rijk op aan dat de regeling uitvoerbaar en betaalbaar is en dat de administratieve lasten in balans zijn met de bedoeling van de wet: het verhogen van de digitale veiligheid in Europa.

Hoe kunnen gemeenten zich voorbereiden op NIS2?

Gezien het feit dat gemeenten nu al een zorgplicht, meldplicht (IBD) en toezicht hebben zal de impact van NIS2 voor gemeenten afhankelijk zijn van de mate waarin nu al gedocumenteerd voldaan wordt aan de BIO.  Daarom is het cruciaal dat alle gemeenten door blijven gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rondom de complete BIO.

Het is ook belangrijk om dit proces te documenteren zodat de gemeenteraad en de (nog te benoemen) centrale toezichthouder hun rol goed kunnen invullen. Hoewel er nog onduidelijkheid is kunnen gemeenten dus wel vast aan de slag.