Blog: Gemeenschappelijke regelingen en NIS2
Als adviseur bij de IBD merk ik dat gemeenten worstelen met de vraag: “Moet een samenwerkingsverband zoals een gemeenschappelijke regeling ook voldoen aan de NIS2? Het antwoord is, zoals bij alle vragen: “dat hangt ervan af” of “het is maar hoe je ernaar kijkt”.
Over NIS2
De Europese Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIB2/NIS2) is de opvolger van de eerdere richtlijn uit 2016 en zal gelden voor meer sectoren dan voorheen. De richtlijn moet, voor oktober 2024, in nationale wetgeving worden omgezet. Nederlandse gemeenten zullen onder de Wet beveiliging netwerkinfrastructuren waarschijnlijk als essentiële entiteit worden aangemerkt. Dat houdt kort gezegd een zorgplicht voor beveiliging, een meldplicht voor incidenten en toezicht in.
De richtlijn is bedoeld om digitale dreigingen te beperken en de continuïteit van belangrijke en essentiële processen in de Europese Unie te waarborgen en “en aldus bij te dragen tot de veiligheid van de Unie en tot de doeltreffende werking van haar economie en samenleving.”
Wat betekent dit voor gemeenschappelijke regelingen en samenwerkingsverbanden?
Gemeenten werken op veel terreinen samen, zoals bijvoorbeeld op het gebied van bedrijfsvoering, ICT, maar ook in de uitvoering van taken in het sociaal domein. Er zijn in Nederland ruim 1200 samenwerkingen van decentrale overheden. De vraag of een van deze samenwerkingen wel of niet onder de wet valt is – geredeneerd vanuit de bedoeling van de wet – eigenlijk niet zo zinnig. Daarom helpt het om anders naar dit vraagstuk te kijken:
Als een gemeente onder een Europese regeling valt, is het dan denkbaar dat je onder zo’n regeling kunt uitkomen door samen te werken met andere organisaties die ook onder die regeling vallen?
Het antwoord op die vraag is uiteraard nee. De enige vraag die overblijft is of een samenwerkingsverband vanwege zijn aard zelf (en dus los van de gemeente) verantwoording zou moeten afleggen aan de toezichthouder. De uitwerking van de nationale wetgeving zal hier uitsluitsel over geven. Even geduld nog, dus.
Samenwerkingsverbanden “essentieel”
De wet ziet gemeenten als essentiële entiteit. Maar hoe zit het dan met de samenwerkingsverbanden? De gemeente dient te voldoen aan de zorgplicht, de meldplicht en de verantwoordingsplicht richting de toezichthouder. Dat kan alleen als alle partijen in de keten daaraan meehelpen. Samenwerkingsverbanden zijn in die zin een essentiële schakel in de keten. Afhankelijk van het soort samenwerking krijgt iedere gemeenschappelijke regeling te maken met NIS2.
Wat moeten we doen?
Ik raad elke gemeente aan om gedocumenteerd door te blijven gaan met de implementatie van de Baseline Informatiebeveiliging Overheid, aangevuld met maatregelen uit de ISO27001/2 in een cyclus van plannen, uitvoeren, controleren en bijstellen. Doe dat binnen de eigen organisatie, maar ook in samenwerkingsverbanden. Uiteindelijk moet het college van burgemeester en wethouders met voldoende comfort kunnen verantwoorden dat de gemeente de beveiliging van informatie(systemen) goed op orde heeft. Dat kan pas als ook alle samenwerkingsverbanden daaraan meehelpen.
Remco Groet, Strategisch adviseur (IBD)
