De Europese NIS2-richtlijn – ook bekend onder de NIS2-directive - is de opvolger van de NIS-richtlijn en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in de EU-lidstaten verder te verbeteren. En hoewel de hernieuwde wetgeving vooralsnog al in oktober 2024 van kracht moet zijn, is er tot op heden nog veel onduidelijk. Dat weerhoudt veel gemeenten ervan om al met deze wetgeving aan de slag te gaan. Zonde, want de tijd tikt door. Wat kun je als gemeente al wel doen om voorbereid te zijn op de NIS2-richtlijn?
Uit een enquête onder 80 van deze gemeenten, in juni 2023 gepubliceerd door AG Connect, Binnenlands Bestuur BV en iBestuur, blijkt dat het voor 70 van de 80 (88%) van de ondervraagde gemeenten nog onduidelijk is welke investeringen zij precies moeten doen. Eén van de genoemde oorzaken is gebrek aan inspraak. Zo laat de consultatieperiode al enige tijd op zich wachten. Deze zou in de zomer plaatsvinden, maar is nu uitgesteld tot het najaar. Tevens stellen gemeenten behoefte te hebben aan meer helderheid vanuit de ministeries over de voorwaarden waar ze precies aan moeten gaan voldoen met de NIS2.
Wat is al wel bekend?
Ondanks de kritiek van gemeenten is er al best wat informatie beschikbaar over de voorwaarden waar organisaties aan moeten voldoen en zodoende te zorgen voor naleving van de wet, oftewel NIS2-compliance. Zo weten we al dat organisaties die onder de NIS2 vallen onder meer moeten voldoen aan de zorgplicht en meldplicht en toezicht hierop een meer centrale plaats krijgt. De zorgplicht betekent dat organisaties op basis van adequaat risicomanagement hun informatiebeveiligingsbeheer goed op orde moeten hebben en passende maatregelen hebben getroffen. Over de meldplicht en het toezicht bestaat nog veel onduidelijkheid. Bestaande kaders voor informatiebeveiliging bij de overheid, waaronder de [weg] Baseline Informatiebeveiliging Overheid (BIO), vormen al een belangrijke basis om invulling te geven aan de zorgplicht die uit de NIS2 volgt. En dat is natuurlijk niet gek. Het achterliggende doel van de NIS2 is immers het versterken van de digitale veiligheid en weerbaarheid. Waarschijnlijk wordt de BIO met een aantal verplichtingen uitgebreid, zodat deze ook voldoet aan de eisen van de NIS2. Het is nog niet geformaliseerd welke veranderingen er precies gaan plaatsvinden. Echter bestaat er sinds begin juni wel al een handreiking voor deze uitbreiding van de BIO, de BIO2.0.
Aan de slag: regel capaciteit en geld
Gemeenten doen er goed aan om niet af te wachten tot er meer duidelijkheid is, maar alvast aan de slag te gaan met de kaders die al wel bekend zijn. Zorg dat je in ieder geval voldoet aan de zorgplicht en begin met in- en overzicht. Om dit te verwezenlijken is het raadzaam om - met onder meer de handreiking BIO2.0 in de hand -de huidige volwassenheid van je organisatie in kaart te brengen. Definieer vervolgens welke acties er nog genomen moeten worden om aan de BIO2.0 te voldoen. Ongeacht je huidige situatie vergt de NIS2-richtlijn de komende jaren aandacht. Dat vraagt capaciteit, kennis en kunde. En mogelijk additioneel budget.Deze periode in het jaar is het uitgelezen moment om hiervoor een post op de begroting te reserveren. Denk dan aan extra mensen of tijdelijke inhuur of financiële ruimte voor een dergelijke in- en overzicht. Ongeacht de situatie in oktober 2024 toon je in ieder geval aan dat je al begonnen bent en toewerkt naar naleving van de wet. En daar wordt een toezichthouder of accountant weer vrolijk van.