Wat betekent de CBW en de NIS2 voor jou en andere gemeenten?

De NIS2-richtlijn is sinds 17 oktober 2024 van kracht en in 2025 treedt ook de nieuwe Cyberbeveiligingswet (CBW), de Nederlandse vertaling van de Europese NIS2-richtlijn, in werking. Deze wet stelt strengere eisen aan de cyberbeveiliging van organisaties, waaronder gemeenten. Bovendien komt er een nieuwe versie van de Baseline Informatiebeveiliging Overheid (BIO), dat zal dienen als normenkader voor de CBW. Wat zijn eigenlijk de belangrijkste veranderingen en hoe kunnen gemeenten zich hierop voorbereiden?

Uitbreiding van de Scope met NIS2

De NIS2-richtlijn breidt de scope van de wetgeving uit naar meer sectoren en organisaties, waardoor ook gemeenten onder de nieuwe regelgeving vallen. Dit betekent dat gemeenten een zorgplicht krijgen om passende technische en organisatorische maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen. Daarnaast moeten significante cyberincidenten worden gerapporteerd aan de relevante toezichthouder, de Rijksdienst Digitale Infrastructuur (RDI), hun eigen Computer Security Incident Response Team (CSIRT) en de Informatiebeveiligingsdienst (IBD).

Bestuurlijke Aansprakelijkheid 

Een van de meest opvallende veranderingen is de introductie van bestuurlijke aansprakelijkheid. Dit houdt in dat bestuurders verantwoordelijk kunnen worden gehouden voor het niet naleven van de cyberbeveiligingsmaatregelen. Dit benadrukt het belang van een proactieve houding ten aanzien van cyberbeveiliging en risicomanagement binnen de gemeentelijke organisatie. 

Strenger Toezicht en Handhaving

De NIS2-richtlijn brengt ook strengere toezicht en handhaving met zich mee. Dit kan leiden tot audits en inspecties door toezichthoudende instanties. Gemeenten moeten zich voorbereiden op deze controles door hun cyberbeveiligingsmaatregelen met behulp van de nieuwe BIO op orde te hebben en te kunnen aantonen dat zij voldoen aan de nieuwe eisen.

Voorbereiding op de NIS2-richtlijn

NCOD biedt ondersteuning bij de voorbereiding op de NIS2. Aan de hand van het boek The NIS2 Navigator’s Handbook  van Michiel Benda, voeren onze adviseurs samen met jouw organisatie een GAP-assessment uit. Deze assessment helpt gemeenten te bepalen in hoeverre ze voldoen aan de nieuwe eisen en welke stappen nog genomen moeten worden. Onze adviseurs hebben in de afgelopen maanden ervaring opgedaan met het uitvoeren van deze GAP-assessments bij diverse gemeenten. Hiermee zijn we in staat om ook jouw gemeente optimaal voor te bereiden op de NIS2.

Conclusie, meer cyberbeveiligingseisen?

De invoering van de NIS2-richtlijn betekent een aanzienlijke versterking van de cyberbeveiligingseisen voor gemeenten. Door tijdig een GAP-assessment uit te voeren en de daarbij passende maatregelen te nemen, kunnen gemeenten zich goed voorbereiden op zowel de NIS2 als de BIO2.0. Het is essentieel dat gemeenten nu actie ondernemen om te voldoen aan de NIS2-richtlijn en zo de veiligheid van hun netwerk- en informatiesystemen te waarborgen.

Hulp nodig mbt de NIS2 bij jouw gemeente?

In onze vakgroep digitalisering en informatiemanagement hebben wij veel ervaring met het adviseren en implementeren met betrekking tot de NIS2 en CBW. Voor een vrijblijvend gesprek mag je altijd contact opnemen met Jos of Alwin.