Slechts een kwart van de decentrale overheden is voorbereid op NIS2-richtlijn
Slechts 26% van de decentrale overheden in Nederland een implementatieplan heeft voor de nieuwe NIS2-richtlijn. Bijna een op de vijf organisaties moet nog beginnen met de voorbereidingen.
Dit blijkt uit onderzoek van Triple Control onder vijftig gemeenten, gemeenschappelijke regelingen en een provincie. De Nederlandse doorvertaling van de NIS2 in de Cyberbeveiligingswet is uitgesteld tot het tweede kwartaal van 2026. Onderzoeker Maurice Hartsinck waarschuwt echter dat de risico's niet kunnen wachten.
Beveiliging schiet tekort
Minder dan de helft van de decentrale overheden vindt hun beveiligingsmaatregelen voldoende en effectief. Slechts 60% van de respondenten is tevreden over de technische bescherming tegen cyberaanvallen. Bij bijna de helft van de organisaties nemen medewerkers informatiebeveiliging nog niet serieus genoeg. Slechts één organisatie is zeer positief over zowel het aantal als de effectiviteit van de maatregelen.
De afgelopen jaren zijn gemeenten herhaaldelijk in het nieuws gekomen met grote beveiligingsincidenten, zoals het datalek bij de gemeente Amersfoort en de hacks bij Almere en Hof van Twente. Uit het onderzoek blijkt dat bij driekwart van de organisaties incidenten adequaat worden opgelost, maar slechts 28% geeft aan voldoende te leren van deze incidenten. Bas de Kwant, onderzoeker, stelt: “Leren van incidenten is essentieel, dat juist hier zo’n grote groep niet op niveau is, is zorgwekkend. Incidenten zijn gerealiseerde risico’s, als je daar niet structureel van leert, blijf je in dezelfde valkuilen stappen.”
Betrokkenheid directie en bestuur
De onderzoekers benadrukken de belangrijke rol van het hoger management. Slechts veertig procent van de respondenten is positief over de mate waarin de directie risico’s overziet en passend handelt. Volgens De Kwant bemoeilijkt dit het draagvlak in de breedte van de organisatie: “Voor effectieve beheersing van informatiebeveiligingsrisico’s is in complexe organisaties nodig dat op alle afdelingen over risico’s en maatregelen wordt nagedacht, maar daar komt alleen draagvlak voor als het van bovenaf geprioriteerd wordt. Zorgvuldig omgaan met (digitale) informatie moet net zo vanzelfsprekend worden als integer handelen.”
Ook wethouders en de gemeenteraad moeten aan de slag. “Ze moeten niet alleen bewust zijn van de risico’s, maar deze ook vertalen naar concrete acties. De gemeenteraad bepaalt het budget, maar het college is straks juridisch aansprakelijk. Houden zij hun kennis bijvoorbeeld niet op peil, riskeren zij onder de Cbw een persoonlijke boete tot 25.000 euro. Dat creëert een politiek spanningsveld,” aldus Hartsinck, die zelf ook raadslid is.
Nieuwe wetgeving en kansen
De onderzoekers zien ook kansen. De aankomende Baseline Informatiebeveiliging Overheid BIO 2.0 verplicht een systematische, risico-gedreven aanpak. Dit betekent concreet dat organisaties aantoonbaar risico-gedreven beleid, maatregelen en navolging moeten integreren met de bedrijfsvoering. Hartsinck legt uit: “De nieuwe BIO is een grote stap vooruit. Een managementsysteem gaat het borgen van informatiebeveiliging van de directiekamer tot de werkvloer een realistische ambitie maken.”
Meer over Overheid
Over Wouter Hoeffnagel
