De Vereniging van Nederlandse Gemeenten (VNG) betwijfelt of de gemeenten straks de nieuwe Baseline Informatiebeveiliging Overheid 2 (BIO2) als wet op lokaal niveau kunnen uitvoeren. Vooral kleine gemeenten lopen gevaar.
De belangenorganisatie plaatst vraagtekens bij de haalbaarheid van dit vernieuwd normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Voor een goede implementatie zijn samenhang, een duidelijke invoeringstermijn en voldoende financiële middelen noodzakelijk, stelt de VNG in een consultatiereactie op de opvolger van de huidige BIO die in lijn is met de NIS2-richtlijn.
BIO2 bevat ook aanvullende overheidsmaatregelen om nieuwe dreigingen, zoals ransomware, aan te pakken. ‘De scope voor de invoering van de nieuwe Baseline is voor gemeenten fors en voor een groot deel nog onduidelijk’, klaagt de VNG. Extra complicatie is dat onder deze cyberbeveiligingswet voor de primaire processen van de gemeenten tevens de nadere regelingen van de andere vakministers gaan gelden. Voorbeeld is de beveiliging van aansturing van operationele technologie. Maar gemeenten moeten ook rekeningen houden met veiligheidsregels voor bijvoorbeeld (afval)water, (jeugd)zorg, de Wet maatschappelijke ondersteuning (Wmo) en de GGD. Ook is er samenloop met de Wet weerbaarheid kritieke entiteiten, de implementatie van de Europese CER-richtlijn.
Moeilijk
De VNG vreest dat vooral de kleine gemeenten zich moeilijk kunnen houden aan verschillende regelingen die vallen onder de cyberbeveiligingswetgeving. Die gemeenten hebben al moeite met de bijna zes jaar oude BIO. Lokale overheden zijn overigens in grote mate afhankelijk van ketenpartners en ict-dienstverleners om de doelstellingen uit de NIS2 en de BIO2 te kunnen realiseren.
Verder pleit de VNG voor verduidelijking van de positie van de chief information security officer. ‘De waarborgen die noodzakelijk zijn om intern onafhankelijk te kunnen rapporteren aan het bestuur, vragen nog aandacht.’ Een andere wens is het toezichtstelsel te vereenvoudigen en te harmoniseren. Verlaging van de auditlasten is geboden. Ook dringt de VNG erop aan de transparantie ter vergroten en de kosten te verlagen door gezamenlijke aanpak inkoop en leveranciersmanagement.
Hoewel er theoretisch een indirecte invloed van burgers kan zijn via de gemeenteraad op de activiteiten van de VNG als vereniging, geldt dit niet op dezelfde manier voor de private rechtspersonen zoals BV’s die onder de VNG vallen en die winst mogen maken. De burger heeft geen directe controle over de commerciële activiteiten van deze BV’s waardoor dit soort constructies veel lijken op Centric die op dezelfde manier nauw verweven is met lokale overheden. Grote mate van afhankelijkheid van ketenpartners en ICT-dienstverleners om de doelstellingen uit de NIS2 en de BIO2 te kunnen realiseren is hierdoor inderdaad een reden tot zorg want het hele kaartenhuis van governance wankelt. Want governance van publieke organisaties die privaatrechtelijke constructies gebruiken is problematisch als de democratische controle wegvalt en er oneerlijke concurrentie ontstaat omdat de BV’s gebruik kunnen maken van publieke middelen zoals een kort lijntje naar de beslissende bestuurders. Wenselijkheid van belangenorganisatie zoals de VNG plaatst dan ook vooral vraagtekens bij het duale stelsel want wie heeft nu werkelijk de macht in het gemeentehuis? Of meer gericht op de ICT wie controleert nu wie als eerdere BIO een papieren tijger was die vervangen gaat worden door een kartonnen leeuw?