Gemeenten die hun zorgplicht onder de Cyberbeveiligingswet niet nakomen, kunnen te maken krijgen met boetes oplopend tot 10 miljoen euro. Burgemeester en wethouders moeten een training informatiebeveiliging volgen, en zijn persoonlijk beboetbaar als ze die plicht verzaken.
De Vereniging van Nederlandse Gemeenten (VNG) schetst deze en andere gevolgen van de Cyberbeveiligingswet in een brief aan raads- en collegeleden. De nieuwe wetgeving komt voort uit de Europese NIS2-richtlijn voor netwerk- en informatieveiligheid. De Cyberbeveiligingswet wet hangt samen met de Wet Weerbaarheid Kritieke Entiteiten, waarover de gemeentekoepel haar leden later informeert.
Beter beschermd
‘De nieuwe wetten hebben belangrijke implicaties voor gemeenten als het gaat om informatiebeveiliging. Door de naleving van deze wetten kunnen essentiële processen in de maatschappij beter beschermd worden tegen digitale dreigingen, waaronder hacks en aanvallen met ransomware,’ schrijft de VNG. ‘Dit geldt ook voor uw gemeente, waar processen zoals financiële administratie, burgerzaken, en de aansturing van bruggen en verkeersregelsystemen beter beschermd zullen zijn.’
De Rijksinspectie Digitale Infrastructuur (RDI) moet voor de gehele overheid de naleving van de Cyberbeveiligingswet in het oog houden. ‘Op de informatiebeveiliging van enkele gemeentelijke processen, zoals zorg of infrastructuur, kunnen ook andere toezichthouders een rol spelen, zoals de Inspectie Gezondheidszorg en Jeugd en de Inspectie Leefomgeving en Transport nu al doen op hun domeinen.’
Maatregelen afwegen
De RDI kan boetes opleggen als gemeenten niet aan de verplichtingen uit de wet voldoen. ‘Bij inbreuken op de zorgplicht en meldplicht kan de toezichthouder de gemeente een bestuurlijke boete opleggen van maximaal 10 miljoen euro.’ De zorgplicht behelst onder meer dat er een analyse van de cyberrisico’s wordt gemaakt. En dat burgemeester en wethouders een verplichte training informatiebeveiliging volgen, op straffe van een persoonlijke boete tot 25.000 euro.
De training moet bestuurders helpen ‘de juiste vragen te stellen’ om beveiligingsmaatregelen af te kunnen wegen in relatie tot risico’s voor de continuïteit van de gemeentelijke dienstverlening, schrijft de VNG. De opleidingseisen zijn nog niet vastgesteld, maar tegen de zomer verwacht het ministerie van Binnenlandse Zaken meer duidelijkheid te kunnen verschaffen. Na inwerkingtreding van de wet krijgen bestuurders 2 jaar de tijd om zich te scholen.
Geef een reactie