Cybersecurity is de voorbije jaren uitgegroeid tot een cruciale uitdaging voor overheden. Steden en gemeenten beheren immers steeds meer digitale diensten, persoonsgegevens en kritieke infrastructuur.
De Europese NIS2-richtlijn verplicht organisaties om hun digitale systemen beter te beschermen tegen cyberaanvallen en legt daarbij ook duidelijke verantwoordelijkheden op. Voor lokale besturen betekent dit dat cybersecurity niet langer alleen een technische IT-kwestie is. Ook bestuurders, directieleden en diensthoofden krijgen een duidelijke rol in het beveiligingsbeleid en daarom is het dus belangrijk dat ook zij een NIS2 opleiding volgen. Binnenkort kan je een NIS2 opleiding volgen en dit op woensdag 25 maart in Brasschaat. Meer informatie vind je HIER.
Maar eerst gaan we nog even verder in op de regelgeving rond NIS2.
-/-
Bestuurlijke verantwoordelijkheid cybersecuritybeleid
Bovenaan de structuur staat het college van burgemeester en schepenen. Dit bestuursorgaan draagt de politieke verantwoordelijkheid voor het cybersecuritybeleid van het lokaal bestuur. Concreet betekent dit dat het college het cybersecuritybeleid moet goedkeuren, voldoende middelen en budget moet voorzien, belangrijke cyberincidenten moet opvolgen en toezicht houdt op de algemene digitale veiligheid van de organisatie.
De NIS2-richtlijn maakt duidelijk dat cybersecurity ook een verantwoordelijkheid is van bestuurders. Het is dus niet langer uitsluitend een technisch dossier voor de IT-dienst. De algemeen directeur is binnen het lokaal bestuur de operationele eindverantwoordelijke voor de organisatie. In het kader van NIS2 zorgt de algemeen directeur ervoor dat er een degelijk informatiebeveiligingsbeleid bestaat, cybersecuritymaatregelen effectief worden uitgevoerd, de juiste functies en verantwoordelijkheden binnen de organisatie zijn vastgelegd, incidenten correct worden opgevolgd en gerapporteerd. De algemeen directeur vormt dus de schakel tussen het bestuur en de operationele diensten.
De ICT-dienst staat in voor de technische uitvoering van de beveiligingsmaatregelen. Belangrijke taken voor deze dienst zijn netwerkbeveiliging, firewalls, monitoring van systemen, patchmanagement, updates back-ups, herstelprocedures, endpoint-beveiliging, logging en detectie van incidenten. De ICT-dienst vormt de operationele ruggengraat van het cybersecuritybeleid.
Een belangrijk principe van NIS2 is dat elke dienst verantwoordelijk blijft voor de veiligheid van zijn eigen processen en systemen. Dit betekent dat ook diensthoofden een rol spelen in cybersecurity. De meest kritieke diensten binnen een lokaal bestuur zijn:
- Burgerzaken: rijksregister en eID-systemen
- Omgeving: digitale vergunningenplatformen
- Sociale dienst / OCMW cliëntendossiers
- Financiën betalingen en boekhoudsystemen
- Technische dienst infrastructuur- en beheersystemen
Cybersecurity wordt zo een gedeelde verantwoordelijkheid binnen de hele organisatie. Want lokale besturen zijn een aantrekkelijk doelwit voor cybercriminelen omdat ze veel gevoelige informatie beheren en essentiële diensten leveren. Een cyberaanval kan deze dienstverlening volledig stilleggen of leiden tot een datalek van persoonsgegevens.
Ook intercommunales of stadsbedrijven zijn een aantrekkelijk doelwit. Zij beheren vaak belangrijke infrastructuur zoals:
- Energievoorziening
- Drinkwater
- Afvalbeheer
- Riolering
Cyberincidenten in deze systemen kunnen een grote maatschappelijke impact hebben.
Zorginstellingen, OCMW-diensten en woonzorgcentra verwerken zeer gevoelige persoonsgegevens zoals medische en sociale dossiers. Deze systemen zijn daarom ook een belangrijk doelwit voor cyberaanvallen.
Interne systemen vormen een risico, bijvoorbeeld:
- Boekhouding en payroll
- HR-systemen
- Documentbeheer
-/-
Onderstaand organogram toont hoe de verantwoordelijkheden rond NIS2 binnen een lokaal bestuur doorgaans georganiseerd zijn.
Ook bij politie- en brandweerzones legt NIS2 verantwoordelijkheid bij het management en de bestuursorganen.
Politiezone
Bestuurlijke verantwoordelijkheid ligt typisch bij:
- Politiecollege
- Politieraad
- Korpschef (operationeel leidinggevende).
Brandweerzone
Bij brandweerzones gaat het meestal om:
- Zonecollege
- Zoneraad
- Zonecommandant
Ook hier geldt dat het bestuur toezicht moet houden op de digitale veiligheid van de organisatie.
-/-
Wie heeft er in de praktijk een NIS2-verantwoordelijkheid en kan persoonlijk aansprakelijk gesteld worden indien niet in orde met de Europese NIS2 wetgeving?
Voor lokale besturen gaat het vooral om de politieke bestuurders zelf zoals:
- Leden van het college van burgemeester en schepenen.
- Directie en raad van bestuur van intercommunales
- Directie en raad van bestuur van gemeentelijke bedrijven
- Administratieve leiding
- Algemeen directeurs
- Directieleden
- Directie en de eventuele raad van bestuur van zorginstellingen
- Technische leiding CISO of informatieveiligheidsverantwoordelijke
- IT-directeur of ICT-manager.
Gewone gemeentelijke medewerkers of gemeenteraadsleden vallen doorgaans niet rechtstreeks onder de bestuurlijke verantwoordelijkheden van NIS2 en kunnen dus niet persoonlijk aansprakelijk gesteld worden.
-/-
Cybersecurity als gedeelde verantwoordelijkheid
De belangrijkste boodschap van NIS2 is duidelijk: cybersecurity is geen exclusieve taak van de IT-dienst. Bestuurders, directie, IT-experts en proceseigenaars moeten samen zorgen voor een veilige digitale omgeving. Alleen door die gezamenlijke verantwoordelijkheid kan een lokaal bestuur de continuïteit van zijn dienstverlening garanderen en de gegevens van burgers beschermen.
-/-
Kort samengevat:
NIS2 verplicht lokale besturen om cybersecurity structureel te organiseren, met duidelijke verantwoordelijkheden op elk niveau van de organisatie. Het is dus heel belangrijk dat al deze VERANTWOORDELIJKEN de NIS2 opleiding volgen en in orde zijn volgens de Europese NIS2 wetgeving, zodat ze niet persoonlijk aansprakelijk kunnen gesteld worden.
Schrijf je dus nu HIER nog in voor onze NIS2 opleiding voor leidinggevenden, beleidsmakers en mandatarissen in Brasschaat op 25 maart!