VVSG roept lokale besturen in Vlaanderen op om versneld werk te maken van NIS2. Een nieuwe deadline in het nationale NIS2-traject valt dit najaar en vraagt directe actie. Gemeenten en intercommunales in België moeten zich voorbereiden op registratie, risicobeheer en snelle incidentmelding. Dit kruist ook met de Europese AI-verordening: gevolgen overheid zijn onder meer extra governance en toezicht op digitale en algoritmische systemen.
Deadline nadert dit najaar
De Europese NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationale wetgeving. België en Nederland werken aan de concretisering en aanwijzing van toezichthouders, op het moment van schrijven nog in beweging. VVSG signaleert dat er nationaal nieuwe mijlpalen bijkomen die al dit najaar effect hebben. Lokale besturen moeten daarom nu al technische en organisatorische maatregelen opstarten.
NIS2 breidt de oude NIS-richtlijn uit naar meer sectoren en legt zwaardere eisen op. Daaronder vallen ook delen van de publieke sector en vitale leveranciers, zoals cloud- en IT-dienstverleners. Besturen die diensten leveren met maatschappelijke impact, komen sneller in scope. Dat vergroot de urgentie voor gemeenten en samenwerkingsverbanden.
In België wordt de praktische uitvoering gecoördineerd door het Centrum voor Cybersecurity België (CCB). In Nederland bereiden Justitie en Veiligheid en de Rijksinspectie Digitale Infrastructuur (RDI) het nieuwe stelsel voor. De boodschap aan organisaties is gelijk: wacht niet op formele brieven. Een basis op orde kost maanden en vraagt besluitvorming.
NIS2 is de Europese richtlijn voor cyberweerbaarheid van essentiële en belangrijke entiteiten. Transpositiedeadline: 17 oktober 2024. Ernstige incidenten moeten binnen 24 uur worden gemeld bij het nationale CSIRT.
Gemeenten krijgen extra plichten
NIS2 verplicht tot risicobeheer met duidelijke minimummaatregelen. Denk aan multifactor-authenticatie, patchbeleid, back-ups en logging. Ook opleiding van personeel en testen van noodplannen zijn verplicht. Dit moet aantoonbaar en herhaalbaar zijn.
Bij een ernstig cyberincident geldt een meldplicht binnen 24 uur bij het nationale CSIRT, het Computer Security Incident Response Team. Daarna volgt een gedetailleerd rapport binnen enkele dagen. Lokale besturen moeten daarom detectie en triage op orde hebben. Zonder monitoring is tijdig melden vrijwel onmogelijk.
Bestuurlijke verantwoordelijkheid wordt aangescherpt. Colleges en directies moeten toezien op beleid, uitvoering en budget. Een CISO-rol of gelijkwaardige functie is nodig om continuïteit te borgen. Inkoop en contractbeheer krijgen extra gewicht, vooral richting cloud- en IT-dienstverleners.
Registratie en scope verduidelijken
Onder NIS2 werken landen met “essentiële” en “belangrijke” entiteiten. De indeling hangt af van sector, omvang en impact. In België zullen veel lokale besturen of hun intercommunales naar verwachting in scope vallen. In Nederland wordt de precieze reikwijdte voor gemeenten op het moment van schrijven nog vastgesteld.
Nationale registers vragen om tijdige aanmelding en contactgegevens van verantwoordelijken. Daarbij horen ook beleidsstukken, procesbeschrijvingen en incidentprocedures. Verwacht wordt dat registratiegolven en controles vanaf eind 2024 en 2025 op gang komen. Voorbereiding nu voorkomt een hectische eindsprint later.
Let ook op zijdelingse blootstelling, zoals via samenwerkingsverbanden en nutsbedrijven. Ketenpartners en leveranciers kunnen NIS2-verplichtingen doorgeven. Dat raakt onder meer shared services, hosting, netwerkbeheer en OT-systemen. Gemeenten doen er goed aan ketenrisico’s vroeg te inventariseren.
Koppeling met AVG en AI
NIS2 sluit aan op de AVG en versterkt beveiliging van persoonsgegevens. Versleuteling, dataminimalisatie en toegangsbeheer zijn gemeenschappelijke vereisten. Een Data Protection Impact Assessment (DPIA) kan input leveren voor de NIS2-risicoanalyse. Zo ontstaat één samenhangende verdedigingslijn.
De Europese AI-verordening vraagt risicobeheersing en transparantie rond algoritmen, vooral bij hoog risico-toepassingen. Denk aan besluitvorming in het sociaal domein, vergunningverlening of cameratoezicht. NIS2 en AI Act dwingen samen tot betere governance en logging. Dit verkleint de kans op fouten en misbruik.
Gemeenten moeten daarom ook eisen stellen aan AI-leveranciers en datamodellen. Leg auditrechten, uitlegverplichtingen en beveiligingsmaatregelen vast in contracten. Zorg dat datasets, modellen en beslisregels herleidbaar en controleerbaar zijn. Dat helpt zowel bij NIS2-controles als bij AI-toezicht.
Stappenplan voor lokaal bestuur
Begin met een gap-analyse op basis van NIS2-maatregelen. Breng assets en kritieke processen in kaart en bepaal prioriteiten. Pak quick wins op, zoals MFA, offline back-ups en patchen. Richt basislogging en alerting in voor snelle detectie.
Inventariseer de keten en herzie contracten met IT- en cloudleveranciers. Neem beveiligingseisen, incidentmeldpaden en toetsingsrechten op in SLA’s. Vraag bewijs van certificering of onafhankelijke audits. Besteed extra aandacht aan beheerders- en leveranciersaccounts.
Werk een incidentresponsplan uit en oefen dit met sleutelrollen. Leg een 24/7 meldpad naar CSIRT en leveranciers vast. Wijs een CISO of verantwoordelijke aan met mandaat en budget. Train bestuur en management op hun NIS2-plichten en besluitvorming.
Toezicht, hulp en kosten
Toezicht komt bij nationale autoriteiten te liggen, met operationele steun van CSIRT-teams. In België speelt het CCB een centrale rol; in Nederland zijn NCSC en RDI belangrijke schakels, op het moment van schrijven in rolverdeling. Verwacht zowel thematische audits als reactief toezicht. Besturen moeten documentatie en bewijsvoering paraat hebben.
Ondersteuning is beschikbaar via sectororganisaties en overheidsprogramma’s. Denk aan richtlijnen, trainingen en voorbeeldbeleidsstukken. Ook Europese middelen, zoals Digital Europe, kunnen projecten helpen. Samenwerking tussen gemeenten vermindert kosten en versnelt adoptie.
Reserveer structureel budget voor mensen, processen en tooling. Beveiliging is geen eenmalig project maar een doorlopend programma. Managed diensten kunnen helpen, maar blijven een eigen verantwoordelijkheid vragen. Goede governance voorkomt boetes en beperkt maatschappelijke schade.
