Gemeenten en andere organisaties kunnen maar beter snel beginnen met voldoen aan de komende regels van NIS2. Dat zegt Jeroen Schipper, Chief Information Security Officer (ciso) van de gemeente Den Haag en manager van het expertisecentrum security aldaar, ondanks dat de invoerdatum van 18 oktober niet wordt gehaald.
Door Elske Koopman / Beeld gemeente Den Haag
De nieuwe Network and Information Security Directive, of NIS2-richtlijn, is gemaakt om de cyber- en informatiebeveiliging in Europa aan te laten sluiten bij de huidige uitdagingen op het gebied van cybersecurity. De vorige richtlijn, NIS uit 2016, is in Nederland vertaald naar Netwerk- en Informatie Beveiliging, die in 2018 heeft geleid tot de Wet beveiliging netwerken informatiesystemen (Wbni). Deze wet is van toepassing op vitale bedrijven en instellingen die actief zijn in de energie-, de financiële en vervoerssector. NIS2 heeft een ruimer toepassingsgebied. Hier zijn nu meer sectoren in opgenomen waaronder overheidsdiensten, middelgrote en grote bedrijven. Organisaties die gezien worden als essentieel voor het functioneren van de maatschappij of de economie.
De Nederlandse vertaling met de benoeming van een toezichthouder en een boetesysteem laat nog op zich wachten. Minister Yeşilgöz gaat oktober niet halen, maar toch moeten bedrijven en overheidsdiensten dan aan NIS2 voldoen.
> LEES OOK: Hoe gaat Europese wetgeving de cyberdreiging tegen?
Beschermen van de kroonjuwelen
Schipper: “Er zijn nog veel vraagtekens over hoe dit in detail uitpakt voor gemeenten. Het wachten is ook op een nieuwe versie van de BIO, de Baseline Informatiebeveiliging Overheid. Informatieveiligheid krijgt binnen de gemeente al veel aandacht, maar wij hebben ook een extern bureau gevraagd om een impactanalyse. Gemeenten moeten in NIS2 voldoen aan regels rond compliance, aantoonbaar maken wat je doet met het zwaartepunt op risicomanagement. Voor ons betekent dat het beschermen van de kroonjuwelen, de belangrijkste systemen en data. Daaromheen hebben we een beveiligingsschil voor de gehele organisatie. Wij delen onze kennis ook met anderen, zo is ons cybersecuritycrisisplan openbaar.”
Middel om de digitale samenleving op orde te krijgen
Daan Rijnders, namens Digitaal Veilig Den Haag verantwoordelijk voor de gevolgen voor de stad: “Het is een hele kluif en wij proberen met de Vereniging van Nederlandse Gemeenten scherp te krijgen wat het voor gemeenten gaat betekenen. Het is een volgende stap in het volwassen worden van het beleid op digitalisering. Voor de overheid is dat tweeledig: informatietechnologie-gedreven, zodat de organisatie toegankelijk blijft, maar ook dat we onze rol pakken in de samenleving. NIS2 is een middel om de digitale samenleving op orde te krijgen.”
> LEES OOK: 63 branches verenigen zich ter ondersteuning Europese cybersecurity richtlijn (NIS2)
Flexibele securityorganisatie
Schipper: “We zijn flexibel als securityorganisatie. Met NIS2 en de nieuwe BIO is het belangrijk de beveiliging in de hele organisatie op orde te hebben. Wij hebben verschillende teams voor verschillende onderwerpen. Nieuwe ontwikkelingen en dreigingen zien we daar aankomen en zo kunnen we direct reageren als dat nodig is. Onze ICT-mensen, het cybercrisisteam en bestuur oefenen elk jaar.”
Rijnders vult aan: “Het gaat om weerbaarheid en vooraf maatregelen nemen en afspraken maken. We doen verschillende dingen. We hebben bijvoorbeeld de Haagse Cyberdialoog tussen de burgemeester en de bestuurders van vitale en belangrijke organisaties in de stad en de veiligheidspartners, waaronder de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Daarin spraken zij over hoe een crisis werkt op stadsniveau en wat de afwegingen voor risicomanagement zijn. Cyberrisico’s kun je vertalen in businessrisico’s, bijvoorbeeld rond de dienstverlening in de stad. Je kunt niet alles voorkomen, maar wel beter voorbereid zijn. Dat doen we onder andere door het evenement Hâck The Hague, en NIS2 is een extra duw in de rug.”
> LEES OOK: Beveiliging van gebouwinstallaties: “De wet komt er, dus ga vooral aan de slag met NIS2”
Hackwedstrijden
Onder de titel Hâck the Hague houdt de gemeente sinds 2017 hackwedstrijden. Daarbij proberen hackers de computersystemen van de gemeente binnen te dringen. Zo controleren zij hoe digitaal veilig de systemen van de gemeente Den Haag en haar leveranciers zijn. Tijdens de wedstrijd helpen hackers uit binnen- en buitenland zwakke plekken in systemen te ontdekken, te beoordelen en op te lossen. Schipper: “Daarbij gaan we gesprekken aan met het midden- en kleinbedrijf en met inwoners om ze weerbaarder te maken.”
Bestuurdersaansprakelijk
Een van de nieuwe toevoegingen in NIS2 is bestuurdersaansprakelijkheid. “We moeten nog zien hoe dat uitpakt voor gemeenten. Daarover zijn we als gemeenten nog in gesprek met het ministerie”, zegt Rijnders. De gemeente heeft ook een verantwoordelijkheid naar ondernemers en organisaties in de stad. “Het Centraal Bureau voor de Statistiek heeft in 2021 in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid uitgezocht hoeveel organisaties onder NIS2 vallen. Dat waren er circa 4300, waarvan 600 in onze politieregio en daarbinnen meer dan 400 en in de regio Haaglanden meer dan 400, die maatregelen zullen moeten nemen. In verschillende uitingen lazen we dat het landelijke cijfer inmiddels is bijgesteld naar 11.000, maar we weten niet hoe dat hier uitpakt. We willen vanuit onze aanjagende rol wel helpen en zeker de hoogrisico-organisaties, maar organisaties zijn zelf verantwoordelijk voor hun digitale veiligheid. Het is mooi als we proberen van elkaar te leren.”
> LEES OOK: Bestuurdersaansprakelijkheid bij cyberincidenten. Gevangenisstraf mogelijk?
Schipper: “Onze omgeving is zeer complex. In de stad hebben we veel internationale organisaties, ministeries en ambassades. Wij houden ons als organisatie met veel onderwerpen bezig. Van toeslagen, ondermijning tot onderwijs en hebben dan ook veel applicaties om dat te ondersteunen.” Rijnders: “Daarnaast hebben we een belangrijke rol in de openbare orde en veiligheid. Dat werkt weer anders in het digitale domein en we zijn ook de Internationale Stad van Vrede en Recht.”
Weinig veranderingen, maar wel meer verplichtingen en toezicht
Toch verwachten de ambtenaren niet dat er veel wijzigt. Schipper: “Alles wat we nu al aan beveiliging doen, verandert niet ineens door de komst van NIS2. Nieuw is de zorgplicht om je zaken aantoonbaar op orde te hebben, een meldplicht en toezicht.”
Dat laatste gaat de Rijksinspectie Digitale Infrastructuur (RDI) doen. Zij moeten volgens de nieuwe regels toezicht vooraf uitoefenen. “Dat is een hele grote operatie, ik ben benieuwd hoe ze dat gaan doen. Ik neem aan dat ze eerst bij vitale sectoren zullen kijken zoals nucleaire installaties en banken en daarna bij de gemeenten aankloppen.” Hij verwacht dat de directe gevolgen voor bewoners en medewerkers uitblijven. “Bewoners gaan er niets van merken, medewerkers ook niet, of de nieuwe BIO moet specifieke eisen stellen voor bijvoorbeeld een nieuwe manier van inloggen, maar dat verwacht ik niet”, zegt Schipper.
Geen taken zonder knaken
Extra geld nodig
Rijnders: “Dan is er nog een belangrijk punt: als je als organisatie maatregelen moet nemen gaat dat geld kosten. Wij zijn naast beperkte belastinginkomsten afhankelijk van geld van het Rijk via het Gemeentefonds. Als we hiervoor niet extra geld krijgen, dan is dat een probleem. Daarvoor werken het Rijk en de VNG gelukkig aan een impactanalyse en uitvoeringstoets. Geen taken zonder knaken.”
Over de exacte kosten voor Den Haag kan Schipper geen uitsluitsel geven. Het externe bureau neemt dat mee in de lopende impactanalyse. Bovendien hangen de kosten voor gemeenten ook samen met hoeveel nu al is geregeld en bijvoorbeeld welke licenties gemeenten hebben afgesloten. Rijnders: “De VNG en G4 hebben onlangs aan de Tweede Kamer laten weten dat het voor digitale veiligheid op lokaal niveau ten minste om 30 tot 50 miljoen euro gaat. Bedrijven kunnen makkelijker investeren in veiligheid. Bij overheidsorganisaties is het geld van de samenleving en heb je ook te maken met vertrouwen van de bewoners in de organisatie.”
> LEES OOK: Security Management nummer 3 met als uitgelicht thema Cybersecurity
Niet afwachten
De gemeente Den Haag had in een zeer vroeg stadium al een eerste concept van NIS2 ingezien. “We gaan zeker niet afwachten, maar als je voldoet aan de BIO ben je al een heel eind”, zegt Schipper. Rijnders: “Je gaat ook met belangrijke partners en de drie andere grote gemeenten in gesprek. We hebben in 2021 de agenda Digitaal Veilig Den Haag gepresenteerd met daarin wat er op ons af gaat komen als Internationale Stad van Vrede en Recht met vitale processen als elektriciteit, connectiviteit en water en specifiek voor de stad gezondheidszorg, onderwijs en bijvoorbeeld distributie van levensmiddelen. We moeten weerbaarder worden.”
> LEES OOK: Zo bereiden bedrijven zich alvast voor op de nieuwe cyberwet
Tip voor andere gemeenten
De belangrijkste tip voor andere gemeenten die met de invoering van NIS2 bezig zijn: “Laat je niet afleiden door het uitstel van de deadline. We halen oktober niet, maar moeten wel starten en de BIO invoeren. Op internet staan genoeg stappenplannen, je moet er snel mee beginnen als je nog niet bezig bent”, aldus Schipper.
Rijnders vult vanuit openbare orde en veiligheid aan: “Kijk naar de hoogrisicobedrijven en ga ze helpen met het verhogen van de weerbaarheid. Laat je niet afschrikken, ga aan de slag.”
Volg Security Management op LinkedIn