Er is de voorbije week veel gebeurd op ons lokale bestuursniveau, maar als hackers blijven proberen steden en gemeenten, hun lokale politie en hulpdiensten aan te vallen, is het tijd voor een serieuze wake-up call over cyberbeveiliging.
Deze week - 28 november - heeft de Europese Raad wetgeving aangenomen voor een verhoogd gemeenschappelijk cyberbeveiligingsniveau in de hele Unie, om de veerkracht en het reactievermogen bij incidenten van zowel de publieke als de private sector en de EU als geheel te verbeteren. Een nieuwe richtlijn, "NIS2" genaamd, zal de huidige richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn) vervangen. Deze richtlijn wordt binnenkort gepubliceerd en treedt in werking op de twintigste dag na de bekendmaking ervan. Daarna hebben de lidstaten 21 maanden de tijd om de bepalingen te handhaven en in hun nationale wetgeving op te nemen. Laat ons hopen dat we geen 21 maanden dienen te wachten om de richtlijn uit te voeren maar we onmiddellijk stappen zetten in de verbeterde beveiliging van onze overheid.
Met deze nieuwe wetgeving probeert de Europese Raad de cyberveiligheid en -veerkracht in de hele Unie te versterken via een sterker risico- en incidentenbeheer maar vooral een betere samenwerking. NIS2 zal de lijnen uitzetten voor risicobeheersmaatregelen op het gebied van cyberbeveiliging en rapportageverplichtingen voor alle sectoren die onder de richtlijn vallen.
Onder de oude NIS-richtlijn waren de lidstaten zelf verantwoordelijk om te bepalen welke entiteiten in specifieke sectoren - zoals energie, vervoer, gezondheid en digitale infrastructuur - aan de voorwaarden moesten voldoen, terwijl zij onder de nieuwe richtlijn NIS2 een size-cap-regel hebben ingevoerd als regel om gereguleerde entiteiten in te delen. Dit betekent dat alle middelgrote en grote entiteiten die actief zijn in de sectoren of diensten verlenen die onder de richtlijn vallen, onder het toepassingsgebied zullen vallen. Hoewel enkele entiteiten buiten het toepassingsgebied blijven, kunnen met NIS2 ook overheidsdiensten op centraal en regionaal niveau eronder vallen. Bovendien kunnen de lidstaten besluiten dat de richtlijn ook van toepassing is op overheidsdiensten op lokaal niveau.
Lokale overheden - zijnde de genoemde steden en gemeenten en de diensten die zij verlenen, ondersteund door hun regionale niveau - moeten deze harmonisatie van cyberbeveiligingseisen oppakken en de uitvoering van cyberbeveiligingsmaatregelen opzetten, met een geactualiseerde lijst van activiteiten waarvoor cyberbeveiligingsverplichtingen gelden, waarbij regio's of lidstaten voorzien in rechtsmiddelen maar ook in sancties om de handhaving te waarborgen. De overheid dient dan ook een reeks minimumregels vast te stellen voor een regelgevingskader en mechanismen voor effectieve samenwerking tussen de betrokken autoriteiten.
De afgelopen jaren hebben we steeds gezegd dat bewustzijn het belangrijkste is op het gebied van cyberbeveiliging - dat is nog steeds zo, maar we kunnen niet op het niveau van "bewustzijn" blijven. We moeten een stap verder gaan in meting, controle, sancties en handhaving! Zoals we al jaren proberen te werken aan de zwakste schakel in de keten - de eindgebruiker - zo moeten we ook werken aan de zwakste organisaties in de overheidsketen. Een oproep tot actie voor allen die betrokken zijn bij de uitvoering van NIS2 is nodig! Maar ook op internationaal niveau is er nog veel werk aan de winkel binnen mogelijke publiek-private partnerschappen (PPP's), met betrekking tot het delen van informatie en cyberbeveiligingsoefeningen en -instrumenten om ervoor te zorgen dat onze overheidsinstanties de best mogelijke bescherming hebben. Alleen als we samen de moeilijke weg bewandelen is er een mogelijkheid om de enorme dreigingen op cybergebied een beetje voor te blijven.
V-ICT-OR vzw blijft haar leden natuurlijk ondersteunen en vertegenwoordigen op alle niveaus. Denk jij graag mee na over de weg naar een cyberveilige overheid? Stel je dan kandidaat voor de werkgroep security via security@v-ict-or.be.