Cyberveiligheid is de voorbije jaren uitgegroeid tot een cruciale uitdaging voor overheden. Gemeenten en steden beheren immers steeds meer digitale diensten, persoonsgegevens en kritieke infrastructuur. De Europese NIS2-richtlijn verplicht organisaties om hun digitale systemen beter te beschermen tegen cyberaanvallen en legt daarbij ook duidelijke verantwoordelijkheden op.
Voor lokale besturen betekent dit dat cybersecurity niet langer alleen een technische IT-kwestie is. Ook bestuurders, directieleden en diensthoofden krijgen een duidelijke rol in het beveiligingsbeleid.
Het onderstaande organogram toont hoe de verantwoordelijkheden rond NIS2 binnen een Vlaamse gemeente doorgaans georganiseerd zijn.
Bestuurlijke verantwoordelijkheid
Bovenaan de structuur staat het college van burgemeester en schepenen. Dit bestuursorgaan draagt de politieke verantwoordelijkheid voor het cybersecuritybeleid van de gemeente.
Concreet betekent dit dat het college:
- het cybersecuritybeleid moet goedkeuren
- voldoende middelen en budget moet voorzien
- belangrijke cyberincidenten moet opvolgen
- toezicht houdt op de algemene digitale veiligheid van de organisatie.
De NIS2-richtlijn maakt duidelijk dat cybersecurity ook een verantwoordelijkheid is van bestuurders. Het is dus niet langer uitsluitend een technisch dossier voor de IT-dienst.
De rol van de algemeen directeur
De algemeen directeur is binnen het lokaal bestuur de operationele eindverantwoordelijke voor de organisatie.
In het kader van NIS2 zorgt de algemeen directeur ervoor dat:
- een degelijk informatiebeveiligingsbeleid bestaat
- cybersecuritymaatregelen effectief worden uitgevoerd
- de juiste functies en verantwoordelijkheden binnen de organisatie zijn vastgelegd
- incidenten correct worden opgevolgd en gerapporteerd.
De algemeen directeur vormt dus de schakel tussen het bestuur en de operationele diensten.
De ICT-dienst: technische beveiliging
De ICT-dienst staat in voor de technische uitvoering van de beveiligingsmaatregelen.
Belangrijke taken zijn onder andere:
- netwerkbeveiliging en firewalls
- monitoring van systemen
- patchmanagement en updates
- back-ups en herstelprocedures
- endpoint-beveiliging
- logging en detectie van incidenten.
De ICT-dienst vormt de operationele ruggengraat van het cybersecuritybeleid.
Diensten als proceseigenaars
Een belangrijk principe van NIS2 is dat elke dienst verantwoordelijk blijft voor de veiligheid van zijn eigen processen en systemen.
Dit betekent dat ook diensthoofden een rol spelen in cybersecurity.
Voorbeelden van kritieke systemen binnen een gemeente:
|
Dienst |
Kritieke systemen |
|
Burgerzaken |
rijksregister en eID-systemen |
|
Omgeving |
digitale vergunningenplatformen |
|
Sociale dienst / OCMW |
cliëntendossiers |
|
Financiën |
betalingen en boekhoudsystemen |
|
Technische dienst |
infrastructuur- en beheersystemen |
Cybersecurity wordt zo een gedeelde verantwoordelijkheid binnen de hele organisatie.
Waar liggen de grootste cyberrisico’s?
Lokale besturen zijn een aantrekkelijk doelwit voor cybercriminelen omdat ze veel gevoelige informatie beheren en essentiële diensten leveren.
Belangrijke risicodomeinen zijn onder meer:
Digitale dienstverlening aan burgers
Steeds meer gemeentelijke diensten verlopen digitaal via e-loketten en online platformen.
Een cyberaanval kan deze dienstverlening volledig stilleggen of leiden tot een datalek van persoonsgegevens.
Kritieke infrastructuur
Via intercommunales of stadsbedrijven beheren lokale besturen vaak belangrijke infrastructuur zoals:
- energievoorziening
- drinkwater
- afvalbeheer
- riolering.
Cyberincidenten in deze systemen kunnen een grote maatschappelijke impact hebben.
Zorginstellingen
OCMW-diensten en woonzorgcentra verwerken zeer gevoelige persoonsgegevens zoals medische en sociale dossiers. Deze systemen zijn daarom een belangrijk doelwit voor cyberaanvallen.
Interne administratieve systemen
Ook interne systemen vormen een risico, bijvoorbeeld:
- boekhouding en payroll
- HR-systemen
- e-mail en documentbeheer.
Phishing en ransomware kunnen deze systemen ontregelen en de werking van het bestuur ernstig verstoren.
Wie valt in de praktijk onder NIS2-verantwoordelijkheid?
Voor lokale besturen gaat het vooral om:
Politieke bestuurders
- leden van het college
- bestuurders van intercommunales
- bestuurders van gemeentelijke bedrijven
Administratieve leiding
- algemeen directeur
- directieleden
- directeurs van zorginstellingen
Technische leiding
- CISO of informatieveiligheidsverantwoordelijke
- IT-directeur of ICT-manager.
Gewone gemeentelijke medewerkers of gemeenteraadsleden vallen doorgaans niet rechtstreeks onder de bestuurlijke verantwoordelijkheden van NIS2.
Cybersecurity als gedeelde verantwoordelijkheid
De belangrijkste boodschap van NIS2 is duidelijk: cybersecurity is geen exclusieve taak van de IT-dienst.
Bestuurders, directie, IT-experts en proceseigenaars moeten samen zorgen voor een veilige digitale omgeving.
Alleen door die gezamenlijke verantwoordelijkheid kan een lokaal bestuur de continuïteit van zijn dienstverlening garanderen en de gegevens van burgers beschermen.
Kort samengevat:
NIS2 verplicht lokale besturen om cybersecurity structureel te organiseren, met duidelijke verantwoordelijkheden op elk niveau van de organisatie. Dus schrijf je nu HIER in voor onze NIS2 opleiding voor leidinggevenden, beleidsmakers en mandatarissen in Brasschaat op 25 maart!