Voor het College van B&W is informatiebeveiliging vaak een ver-van-mijn-bed-show: een technisch onderwerp dat hen niet zo ligt. In het College bestaat het beeld dat informatiebeveiliging ingewikkeld is en vraagt om specialistische kennis. Daarom beleggen ze het onderwerp vaak lager in de organisatie, bij specialisten zoals de CIO en de CISO. Deze rollen hebben vaak vooral contact met de gemeentesecretaris. Hun contact met het College is indirecter en beperkter. Hierdoor ontstaat er een tweeledig gemis: het College krijgt beperkte informatie over informatiebeveiliging én er ontbreekt kennis in het College om zelf te informeren naar de staat van informatiebeveiliging bij de gemeente.
En dat terwijl de uitdagingen op informatiebeveiligingsgebied groot zijn: discussies over geopolitiek en soevereiniteit nemen toe, technologische ontwikkelingen zoals AI veranderen het dreigingsbeeld, en veel gemeenten zijn nog onvoldoende volwassen als het gaat om informatiebeveiliging.
Dat zorgt voor ontrust in het College. Want hoe weet je of informatiebeveiliging goed geregeld is, als je maar beperkt informatie ontvangt, geen goede vragen kunt formuleren, en in de wereld om je heen regelmatig ernstige incidenten ziet?
De Cyberbeveiligingswet (Cbw) maakt informatiebeveiliging een collegeverantwoordelijkheid
De inwerkingtreding van de Cyberbeveiligingswet (Cbw, de Nederlandse vertaling van de NIS2) moet hier verandering in brengen. De Cbw legt namelijk de verantwoordelijkheid voor goede informatiebeveiliging bij het gehele College van B&W. Informatiebeveiliging is dus niet ‘van de portefeuillehouder’ of ‘van de gemeentesecretaris’, of iets wat je lager in de organisatie kunt beleggen. Informatiebeveiliging is chefsache en moet prominent op de bestuurlijke agenda staan! De Cbw schrijft voor dat alle Collegeleden hoofdelijk verantwoordelijk zijn voor informatieveiligheid binnen hun organisatie en bovendien verplicht zijn een gedegen opleiding hierin te volgen.
Gedegen opleiden, wat is dat?
Helaas zien we dat deze verplichtingen nog niet direct leidt tot veiligere gemeenten. Dat is ook logisch: Collegeleden hebben te maken met veel verschillende vakgebieden en een overvolle agenda. Zij moeten keuzes maken waar zij zich in verdiepen, en waarin niet. Ze worden door de markt ook verleid om zich er makkelijk van af te maken: online worden er e-learnings aangeboden die je beloven dat je in korte tijd alles weet van de Cbw.
Interessant is dat we op andere gebieden wél verwachten dat een College goed geïnformeerd en opgeleid is. Als we bijvoorbeeld kijken naar financiën, zien we dat veel Collegeleden een financiële achtergrond hebben, of zich later op dit onderwerp laten bijscholen. In het College is het belang van ‘goede financiële kennis’ en ‘in control zijn’ op het gebied van financiën duidelijk. Als een gemeente financieel tekort schiet, zijn er direct concrete gevolgen voor het ambtelijk apparaat en de inwoners voor wie zij werken.
Maar wat als je tekortschiet in informatiebeveiliging? Ook daar kunnen de gevolgen ernstig zijn. De afgelopen jaren zagen we bijvoorbeeld gemeenten worstelen met grootschalige datalekken. Dat schaadt het vertrouwen van inwoners. Daarnaast zagen we overheidspartijen waar de dienstverlening tijdelijk stil werd gelegd door aanvallen van hackers. Toch zijn er nog maar weinig Collegeleden die een achtergrond hebben in ICT of informatiebeveiliging, of zich laten bijscholen op dit gebied.
Goed bestuur = weerbaar bestuur
Het bestuur kan pas echt verantwoordelijkheid nemen voor informatiebeveiliging in haar gemeente als ze zich in het onderwerp heeft verdiept. Pas als het College begrijpt met welke risico’s zij te maken heeft op het gebied van informatiebeveiliging, de maatregelen kan vergelijken en afwegen, en op basis daarvan geïnformeerde besluiten kan maken, worden er stappen gezet in het veiliger maken van de gemeente. Het College van B&W moet dus over voldoende kennis beschikken om kritische vragen te stellen en verantwoorde keuzes te maken. Alleen dan creëren we veilige gemeenten die weerbaar zijn in een wereld waar de digitale dreigingen elke dag weer anders zijn.
Een goed bestuur is een weerbaar bestuur. En een weerbaar bestuur kan alleen worden gecreëerd als Collegeleden hun verantwoordelijkheid accepteren en zich hierin verdiepen. Dat betekent dat zij niet genoegen moeten nemen met een korte e-learning of een presentatie van de CISO. Ze moeten leren wat informatiebeveiliging is, hoe informatiebeveiligingsrisico’s kunnen worden vastgesteld, en hoe je besluit wat de goede maatregelen zijn om deze risico’s te mitigeren. Alleen op deze manier wordt informatiebeveiliging écht van het bestuur, en zal het leiden tot een weerbare gemeente.
Start vandaag nog
Waar kunt u starten als portefeuillehouder of gemeentesecretaris om informatiebeveiliging in uw College op de agenda te brengen? De masterclass NIS2 & Cbw voor lokale overheidsorganisaties van M&I/Partners geeft de basis die u nodig heeft. Door te focussen op de ontwikkeling van vaardigheden, zorgen we dat bestuurders in staat zijn het echte gesprek te voeren met de organisatie over informatiebeveiliging en borging van de NIS2 in hun organisatie.
Terug naar het overzicht
Maak kennis met
