- Het gros van de gemeenten is niet voorbereid op nieuwe Europese wetgeving rond cybersecurity die in 2024 ingaat, blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur.
- Daarmee riskeren gemeenten boetes die kunnen oplopen tot 10 miljoen euro
- Gemeenten geven aan dat de eisen onduidelijk zijn, omdat de overheid de Europese richtlijnen niet heeft vertaald naar Nederlandse wetgeving.
Miljoenenboetes dreigen voor gemeenten die in 2024 aan nieuwe Europese wetgeving rond cybersecurity moeten voldoen. Het gros van de gemeenten is hier niet op voorbereid, vooral omdat de eisen niet duidelijk zijn, blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur onder tachtig gemeenten.
Gemeenten vallen onder de ongeveer achtduizend organisaties die met de komst van de cybersecuritywet NIS1 in oktober 2024 als essentieel worden aangewezen. Daarmee moeten ze aan strengere eisen voor IT-beveiliging voldoen.
Daaronder vallen onder meer het in kaart hebben van toeleveranciers en vitale processen waarvoor organisaties zelf verantwoordelijk zijn, en het verbeteren van de beveiliging van die processen. Gebeurt dat niet, dan dreigt een bestuurlijke boete die kan oplopen tot 10 miljoen euro of bij bedrijven 2 procent van de totale jaaromzet.
Van de tachtig gemeenten hebben slechts vijf aangegeven dat zij hun toeleveranciers in kaart hebben, terwijl zes gemeenten een overzicht hebben van de vitale processen. Zeventig gemeenten geven aan dat onduidelijk is welke investeringen ze moeten doen, omdat de overheid de Europese afspraken nog niet heeft vertaald naar Nederlandse wetgeving.