De Network and Information Security directive (NIS2-richtlijn) betekent een verstrenging van de verplichte cyberveiligheidsmaatregelen voor bepaalde entiteiten en sectoren. Deze Europese wetgeving wordt momenteel naar nationale wetten vertaald en we verwachten een definitieve wet in de loop van 2024. De VVSG schreef een standpunt om lokale besturen niet mee te nemen als entiteiten die onder deze NIS2-verplichtingen vallen. We vragen aan de Vlaamse overheid om eerst werk te maken van een duidelijke strategie over cyberveiligheid en een bijhorend plan van aanpak.
In 2016 trad de huidige NIS1-richtlijn in werking. De Europese Unie verplichtte hiermee hun lidstaten om nationale cyberveiligheidsstrategieën te ontwikkelen en onderling samen te werken. De richtlijn stelt strenge eisen aan aanbieders van essentiële diensten in bijvoorbeeld de energie-, telecom- of financiële sector. Deze bedrijven moeten minimale veiligheidsmaatregelen toepassen en ernstige incidenten melden. Sinds april 2019 is deze wetgeving opgenomen in de Belgische NIS-wet.
De Europese Commissie heeft deze richtlijn de laatste jaren onder de loep genomen en concludeerde dat het toepassingsgebied te beperkt is en er bovendien onduidelijkheid over bestaat. Het Europees parlement heeft vervolgens in november 2022 beslist om het toepassingsgebied uit te breiden naar meer entiteiten en sectoren. Deze NIS2-richtlijn houdt bovendien een versterking van de beveiligingseisen, verhoogde rapportage en toegenomen toezicht van de maatregelen in. Het doel is om de digitale en economische weerbaarheid van de Europese lidstaten te verhogen.
Een belangrijke evolutie voor de VVSG en hun leden, is dat de overheden nu ook deel uitmaken van het toepassingsgebied. Centrale en regionale overheidsdiensten vallen automatisch onder de grotere reikwijdte van de Europese NIS2-richtlijn. Lidstaten hebben nu de keuze om ook lokale overheidsinstanties op te nemen.
De VVSG ging te rade bij hun leden en werkte vervolgens het standpunt uit om lokale besturen niet mee te nemen als entiteiten onder de NIS2-verplichtingen. Momenteel is er nog geen kader waarmee deze doelstellingen gehaald kunnen worden. We grijpen het moment echter wel aan om de Vlaamse overheid op te roepen tot het bepalen van een ruimere strategie en bijhorend plan van aanpak op gebied van cybersecurity bij lokale besturen. We pleiten ervoor om tot collectieve oplossingen te komen in plaats van ongefundeerde verplichtingen op te leggen voor elk individueel bestuur.
Welke stappen zijn al gezet?
Het standpunt NIS2-richtlijn werd goedgekeurd op de Raad van Bestuur van 20 september 2023. Na informele contacten met het kabinet van eerste minister Alexander De Croo, op federaal niveau bevoegd voor cyberveiligheid, hoorden we alvast positieve antwoorden. Op Vlaams niveau zijn we in gesprek met het Agentschap Binnenlands Bestuur, Digitaal Vlaanderen en het kabinet van minister van Binnenlands Bestuur, Bestuurszaken, Inburgering en Gelijke Kansen, Bart Somers. We ijveren bij deze gesprekken voor een opmaak van een duidelijke strategie en een plan van aanpak.
