Presentatie

Na het welkomstwoord van dagvoorzitter Barend Tensen (Kenniscentrum Europa Decentraal) gaf Frank Heijligers, werkzaam bij de Directie Digitale Samenleving binnen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), een boeiende presentatie over digitalisering en cyberveiligheid. Met een achtergrond in ICT en rechten, en als nauw betrokkene bij de implementatie van NIS2 in de Cyberbeveiligingswet, deelde hij zijn zorgen en inzichten over verschillende misverstanden op dit gebied aan de hand van een pakkende parabel.

Parabel: de horlogeverzamelaar
Heijligers begon met een illustratief verhaal over Simon, een fervent horlogeverzamelaar. Simon was bekend in de horlogewereld en bezocht vaak beurzen. Op een dag was er een poging tot inbraak in zijn huis, wat hem deed nadenken over de veiligheid van zijn kostbare horloges. Na advies van zijn verzekeringsmaatschappij liet hij zijn horloges taxeren en trof beveiligingsmaatregelen thuis.

Toen Simon op vakantie ging, verdeelde hij zijn horloges over de buurt. Zijn dure Rolex gaf hij aan zijn buurman Klaas. Helaas werd er bij zowel Simon als Klaas ingebroken en de Rolex werd gestolen, ondanks dat Klaas een kluis had. Dit voorval benadrukt dat maatregelen passend en evenredig moeten zijn aan de dreiging en dat de gesprekken collectief gevoerd moeten worden om de veiligheid van de buurt te verhogen. Heijligers vatte het mooi samen met de woorden:

“Om een vergiet te dichten moet je alle gaatjes afplakken en niet 80%; water vindt de weg er namelijk doorheen.” – Frank Heijligers

De moraal: risicomanagement en gezond verstand
Het verhaal van Simon en Klaas illustreert dat risicomanagement belangrijk is, maar ook zijn beperkingen heeft. Iedereen kijkt naar zijn eigen risico’s, wat niet altijd voldoende is. “Beveiligen is eigenlijk gewoon gezond verstand, je moet er alleen even de ruimte voor nemen,” benadrukte Heijligers. Hij sprak de overheidsmedewerkers in de zaal aan, die verplicht zijn om gegevens van burgers goed te beveiligen, omdat burgers geen keuze hebben in welke overheid hun paspoort uitgeeft.

Cyberveiligheid bij bestuurders
Hoe krijgen we bestuurders echt betrokken bij cyberveiligheid? Heijligers gaf aan dat dit begint met een goed verhaal dat de bestuurder raakt. Het is essentieel om de taal van de bestuurder te spreken en duidelijk te maken wat de gevolgen zijn van een datalek. De NIS2-richtlijn (gericht op verbetering van de digitale en economische weerbaarheid van Europese lidstaten) wordt gezien als zowel een zegen als een risico, omdat het verplichtingen oplegt, maar ook kan afleiden van intrinsieke motivatie.

Zijn oproep was duidelijk: “Vindt elkaar.” Samenwerking, ook met buurgemeenten, is cruciaal. Iedereen moet begrijpen dat beveiliging een collectieve verantwoordelijkheid is.

Panelgesprek

Panelleden

• Gemma Jansen, CISO (Chief Information Security Officer) provincie Noord-Holland
• Vincent Lokin, lid van het dagelijks bestuur waterschap De Dommel
• Patrick Spigt, directeur dienstverlening gemeente Katwijk

Investeringen van de overheid
Dagvoorzitter Barend Tensen opende het panel met de vraag of de overheid genoeg investeert in cyberveiligheid. Gemma Jansen benadrukte dat investeringen niet alleen in geld, maar ook in het overbrengen van de juiste boodschap moeten plaatsvinden. “Het is belangrijk dat die boodschap op het juiste niveau gehoord wordt en gevoeld wordt. Als CISO ben je soms de enige die staat te roepen.” Volgens haar kan er meer gedaan worden om duidelijk te maken waarom cyberveiligheid cruciaal is.

Patrick Spigt vond het lastig om te bepalen wat voldoende investering is. Hij wees erop dat bedrijfsvoering vaak een ondergeschoven kind is en dat overheden hier vaak weinig expertise hebben. “Wat is te veel of te weinig? Er is de afgelopen periode wel meer in geïnvesteerd, maar is dat genoeg? Het is nooit genoeg, maar je moet wel schaarse middelen verdelen.” Hij benadrukte de noodzaak van meer samenwerking tussen verschillende overheidslagen.

“Als CISO ben je soms de enige die staat te roepen.” – Gemma Jansen

Vincent Lokin was van mening dat waterschappen goed hebben geïnvesteerd in cyberveiligheid en kennis. “ICT wordt echt gezien als onderdeel van de kerntaken. We begrijpen het belang en doen ons best om mogelijke zwakheden te pareren.” Hij gaf invulling aan risicobeheer, namelijk door alert te blijven scannen op potentiële zwakheden en deze proactief aan te pakken.

Publiek-private partnerschappen
Bij de vraag of publiek-private partnerschappen een goede manier zijn om cyberveiligheid te verbeteren, gaf Jansen aan dat dit zeker kan helpen, maar niet vanzelfsprekend is. “Er is nog best een weg te gaan tussen publieke en private samenwerking hier.” Spigt stelde dat, gezien het gebrek aan kennis binnen de overheid, samenwerking met de private sector onvermijdelijk is. “We moeten kennis naar binnen halen uit de private sector en afwegen wat we zelf doen en wat we kunnen uitbesteden.” Lokin benadrukte dat cyberveiligheid een bestuurlijk onderwerp is dat samenwerking met private partijen vereist.

“Bedrijfsvoering als geheel is een ondergeschoven kind en hier valt de digitale wereld en de bescherming hiervan ook onder.” – Patrick Spigt

De Europese NIS2-richtlijn
Vincent Lokin vond dat Europa het belang van goede organisatie inziet. Patrick Spigt merkte op dat de NIS2-richtlijn voor 90% bestaande praktijk is. “VNG is daar nog zoekende in: hoe gaan we daar mee om? Er mist een duidelijke richting van de centrale overheid. We moeten elkaar veel meer gaan helpen, en die helpende hand moet echt veel meer uit het Rijk komen.” Gemma Jansen vond het een goede zaak dat de NIS2-richtlijn er is. “De uitdaging zit meer in hoe we integraal kunnen samenwerken.”

Certificering en risicomanagement
Op de vraag of certificering voldoende is, benadrukte Lokin het belang ervan. Spigt vond risicomanagement de sleutel. “Het zal nooit 100% worden, welke certificering we ook hebben. Het blijft altijd risicomanagement.” Hij wees op de snelle ontwikkelingen in AI en het belang om daar actief mee aan de slag te gaan.

Lokin wierp een vraag op aan het publiek: “We zijn allemaal radertjes in het groot geheel. Soms denk je dat er een radertje is dat alles weet, maar dat is niet altijd het geval. Hoe zorg jij ervoor dat jouw organisatie bewust wordt en dat bestuurders actie ondernemen?” Hij daagde het publiek uit na te denken over hun rol in het vergroten van bewustzijn binnen hun organisaties en hoe ze bestuurders kunnen motiveren om cybersecurity serieus te nemen.

Voorbeelden vanuit de provincie en gemeente
Gemma Jansen vertelde dat er regelmatig overleg is tussen CISO’s van verschillende provincies, waarbij ze actief samenwerken en van elkaar leren. Spigt gaf aan dat gemeenten stappen zetten in samenwerking, bijvoorbeeld bij de overgang naar cloudomgevingen. “Maar er moet meer geïnvesteerd worden en dat vraagt om duidelijke kaders. De mentaliteit in Europa is anders, meer top-down. Het Rijk moet daar een rol in pakken.”

“Get organized, zorg dat je de zaken op orde hebt.” – Vincent Lokin

Conclusies
De panelleden benadrukten het belang van samenwerking tussen overheidslagen en met de private sector. Ze riepen op tot meer investeringen in kennis en duidelijkheid vanuit de centrale overheid. De discussie maakte duidelijk dat het onderwerp cyberveiligheid veel aandacht vraagt en dat er gezamenlijke inspanningen nodig zijn om een robuuste beveiliging te waarborgen.

RVO: financiering cyberveiligheid

Er is werk aan de winkel als het gaat om cyberveiligheid, maar geld blijft realistischerwijs de uitdaging. Gelukkig zijn er fondsen en subsidies om dit werk te ondersteunen. Folkwin Poelman van NEXIS, het Nationaal Coördinatiecentrum voor Cybersecurity-Innovatie, presenteerde de verschillende financieringsmogelijkheden op het gebied van cyberveiligheid. NEXIS biedt ondersteuning bij het identificeren van nationale en Europese kansen en helpt bij het perfectioneren van subsidieaanvragen.

Europese programma’s: Horizon Europe en Digital Europe
Twee belangrijke Europese programma’s voor overheden die internationale projecten op het gebied van cyberveiligheid willen opzetten, zijn Horizon Europe en Digital Europe. Horizon Europe richt zich op de eerste fasen van onderzoek en ontwikkeling, terwijl Digital Europe meer gericht is op het opschalen en op de markt brengen van producten en diensten. Verschillende oproepen voor het indienen van voorstellen staan al open of zijn aangekondigd.

“Horizon Europe en Digital Europe zijn bij uitstek relevant voor overheden die een internationaal project op het gebied van cyberveiligheid willen opzetten. – Folkwin Poelman

ENSOC-project
Claudia van den Beld van het Nationaal Cyber Security Center (NCSC) gaf vervolgens een toelichting op het ENSOC-project (Nationale Samenwerking tegen Ondermijnende Criminaliteit), een goed voorbeeld van een Europees project in de praktijk. Het NCSC werkt samen met zes andere landen aan het opzetten van een Europees netwerk van Security Operation Centres (SOCs), gefinancierd door Digital Europe. Dit netwerk maakt het mogelijk om dreigingsinformatie, zoals informatie over kwetsbaarheden of kwaadwillende actoren, beter te delen met andere landen. Hierdoor kunnen cyberdreigingen eerder opgespoord en voorkomen worden.

Van den Beld deelde ook de uitdagingen die bij het project kwamen kijken en gaf tips en tricks vanuit de ervaring van NCSC. Een belangrijke tip was het gebruik van PM², de projectmanagementmethodologie van de Europese Commissie. Die kan helpen bij het schrijven van een goed projectvoorstel en zorgt ervoor dat internationale partners dezelfde taal spreken.

“Het is essentieel om dezelfde taal te spreken met internationale partners bij het opzetten van Europese projecten.” – Claudia van den Beld

Conclusie
De gecombineerde NEXIS-NCSC sessie benadrukte dat er volop financieringsmogelijkheden zijn voor cyberveiligheidsprojecten, zowel nationaal als Europees. Door gebruik te maken van programma’s zoals Horizon Europe en Digital Europe kunnen overheden en organisaties innovatieve projecten opzetten en opschalen. Het ENSOC-project illustreert hoe die samenwerking in de praktijk kan werken en welke voordelen het kan bieden voor de gezamenlijke bestrijding van cyberdreigingen.

IBD: implementatie NIS2

De Informatiebeveiligingsdienst voor gemeenten (IBD) bestaat sinds 2013 en ontvangt financiering uit het Gemeentefonds. De IBD ondersteunt gemeenten bij incidenten en biedt kennisproducten aan via hun website. De huidige norm voor informatiebeveiliging is de BIO (Baseline Informatiebeveiliging Overheid), met een update naar BIO 2.0 op komst. Kees Hintzbergen, adviseur CERT (Computer Emergency Response Team) nam de aanwezigen mee in het werk van de IBD.

Ondersteuning bij NIS2
Hintzbergen ging in op de vraag hoe gemeenten ondersteund kunnen worden bij de implementatie van de NIS2-richtlijn. Deze richtlijn vereist dat de hele keten, van toeleveranciers tot samenwerkingsverbanden, weerbaar wordt. Transparantie is hierbij essentieel, net als het naleven van de BIO 2.0-normen die voldoen aan ISO27001.

Verplichte zelfregulering en meldplicht
De afgelopen tien jaar moesten gemeenten zelf aan risicomanagement doen, vaak zonder consequenties. De NIS2-richtlijn brengt hier verandering in met een zorgplicht, meldplicht, en toezicht vooraf en achteraf. Gemeenten zijn nu aangewezen als kritieke sectoren, wat betekent dat de keten weerbaar moet zijn en dat samenwerking essentieel is.

“Meer maatregelen is niet per se veiliger.” – Kees Hintzbergen

De rol van de IBD
De IBD fungeert als CSIRT (Computer Security Incident Response Team) voor gemeenten. Nederland heeft een gelaagde CSIRT-structuur, waarbij ook waterschappen een eigen CSIRT hebben. De IBD ziet de NIS2-richtlijn als een kans om informatiebeveiliging te verbeteren en gemeenten beter te ondersteunen.

Implementatie en certificering
Hintzbergen benadrukte dat informatiebeveiliging niet alleen een kwestie is van IT, maar een breed gedragen verantwoordelijkheid moet zijn binnen de hele organisatie. Management commitment is cruciaal, ook financieel. De BIO 2.0 biedt een normenkader voor risicomanagement, dat gemeenten helpt bij het opzetten van een effectief informatiebeveiligingssysteem.

Knelpunten
Enkele bekende knelpunten zijn het gebrek aan sturing en interesse van bestuur en directie in informatiebeveiliging, de onvolwassenheid van leveranciers en contractmanagement, en het gebrek aan security awareness bij personeel. Het is belangrijk dat informatiebeveiliging als een collectieve verantwoordelijkheid wordt gezien en niet alleen als een IT-kwestie.

Conclusie
Hintzbergen concludeerde dat meer maatregelen niet per se meer veiligheid betekenen, maar wel altijd meer werk. Hij benadrukte dat certificering geen doel op zich is, maar een nuttig middel om risicomanagement van de grond te krijgen.

Afsluiting

Dagvoorzitter Barend Tensen rondde de bijeenkomst af met een korte terugblik op de levendige discussies en waardevolle inzichten van de dag. Met een hartelijk bedankje aan zowel de sprekers als het publiek, sprak hij zijn waardering uit voor hun bijdrage aan een geslaagde derde editie van Let’s Get Digital.

Meer weten?
Digitermen – Europa decentraal
Tijdlijn Digitalisering – Europa decentraal
Moeten decentrale overheden zelfstandig en rechtstreeks aan de NIS2 verplichtingen voldoen? – Europa decentraal

Op 29 april 2024 hebben de Raad en het Europees Parlement een definitief besluit genomen over het gewijzigde Commissievoorstel over de Gigabitinfrastructuurverordening van februari 2023. De uitrol van hogecapaciteitsnetwerken laat nog tot eind 2025 op zich wachten, wanneer exploitanten en overheidsinstanties de Verordening daadwerkelijk mogen toepassen.

Kern Gigabitinfrastructuurverordening

De Gigabitinfrastructuurverordening (zie hier voor de nog ongepubliceerde versie van 24 april jl) streeft verschillende doelen na. Het verlagen van de kosten en het versnellen van de implementatie van gigabitnetwerken zijn topprioriteiten. Daarnaast is ook het verminderen van de ecologische impact van elektronische communicatienetwerken een belangrijk doel, door het stimuleren van milieuvriendelijkere technologieën, zoals glasvezel of draadloze 5G-technologie.

Deze netwerken – de Verordening duidt ze aan als “netwerken met zeer hoge capaciteit” – stellen aangesloten partijen in staat om in korte tijd veel gegevens uit te wisselen. Exploitanten van de netwerken moeten toegang toestaan tegen redelijke voorwaarden, specifieke uitzonderingsgronden daargelaten. De overige partijen hoeven pas eind 2025 de verplichtingen uit de Verordening na te leven. Vanaf dan is het grootste deel van de Verordening van kracht.

Voor specifieke informatievoorzieningsverplichtingen, zoals centrale informatiepunten, geldt een toepassingsdatum die nog zes maanden later ligt , dus waarschijnlijk in juni 2026. Zulke informatiepunten moeten ook vindbaar zijn via de Single Digital Gateway of “één digitale toegangspoort”, ingesteld bij de SDG-verordening (Vo. 2018/1724). Zie hiervoor overweging 61 uit de preambule van de Gigabitinfrastructuurverordening.

Decentrale relevantie

Zoals wij in ons eerdere bericht van 19 februari aangaven, is deze Verordening ook voor decentrale overheden relevant, omdat het mogelijk ingrijpt op de vergunningenprocedures die zij hanteren. De Verordening voorziet namelijk in een verplicht bemiddelingsmechanisme. Hiervoor stelt de Europese Commissie randvoorwaarden op samen met het agentschap Body for European Regulators for Electronic Communications (BEREC). Relevante overwegingen uit de preambule van de Verordening zijn 26, 27, 46, 58, en 63 t/m 68, en artikel 3 lid 13, 5 lid 6, 11 lid 6 van de Verordening; deze artikelen zijn direct van kracht vanaf de inwerkingtredingsdatum.

Overigens, in tegenstelling tot ons eerdergenoemde bericht (en dat van de Raad), bevat de uiteindelijke versie van de Verordening géén expliciete bevoegdheid meer voor lidstaten om de overgangsperiodes voor gemeenten met minder dan 3.500 inwoners met maximaal twaalf maanden te verlengen. De wetgevende instellingen hebben hier, vlak voor de deadline, dus geen overeenstemming over bereikt.

Bron

Verordening Gigabit Infrastructuur, Raad van de Europese Unie.

Meer informatie

Tijdlijn Digitalisering, één van onze digi-diensten.

Digitale overheid, onderwerppagina.

Eerste pijler: 3C-netwerk

Met de eerste reeks scenario’s wil de Commissie invulling geven aan een ‘Connected Collaborative Computing’ netwerk: een Europees ecosysteem dat halfgeleiders en rekencapaciteit voor edge-, cloud- en radiotechnologie verenigt met connectiviteitsinfrastructuur, databeheer, en apps. Hiertoe suggereert de EU-instelling onder andere:

• grootschalige pilots om geïntegreerde infrastructuren voor cloud en edge telecomplatforms met innovatieve technologieën te realiseren;
• een nieuw, op digitale infrastructuur toegespitst, project (zoals dit door de Commissie goedgekeurde project onder de staatssteunregels) of andere gecoördineerde kaders om zowel Europese als nationale, publieke en private financiering aan te trekken.

Tweede pijler: digitale eengemaakte markt

De tweede pijler bevat scenario’s voor de voltooiing van de digitale eengemaakte markt. Hier schetst de Commissie onder andere de volgende scenario’s:

• het huidige regelgevingskader uitbreiden of hervormen, om zoveel mogelijk eindgebruikers van digitale diensten gebruik te kunnen laten maken;
• maatregels stellen voor het uitfaseren van koperkabel tot uiterlijk 2030 en voor het omschakelen naar glasvezel vanaf 2028;
• Procedures harmoniseren om beheer en toestemming van radiofrequenties te integreren op EU-niveau en het integreren van het “country of origin” principe;
• Vergroening ondersteunen door sneller van koper naar glasvezelinfrastructuur over te stappen.

Derde pijler: weerbare infrastructuur.

De derde set aan scenario’s richt zich op het verhogen van de veiligheid en weerbaarheid van infrastructuren. Hiertoe suggereert de Commissie onder andere het volgende:

• versterking van onderzoek en innovatie gericht op nieuwe glasvezel- en kabeltechnologieën;
• een lijst met kabelprojecten van Europees belang onder het Connecting Europe Facility fonds of andere activiteiten en beschikbare instrumenten onder het InvestEU fonds;
• een gezamenlijk EU-beheerssysteem voor kabelinfrastructuur op de bodem van de zee;
• het harmoniseren van veiligheidsvoorwaarden op internationale fora, mogelijk te bereiken door middel van gerichte EU-certificeringsschema’s.

De Europese Commissie nodigt iedereen binnen overheden, het maatschappelijk middenveld, industrie en academie om voor 1 juli 2024 via het Have Your Say portaal feedback op dit Witboek te leveren.

Bron

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14168-How-to-master-Europes-digital-infrastructure-needs%3F_nl

Als voormalig medewerker van de afdeling European Affairs in Rotterdam staat Europees recht en beleid hoog bij u in het vaandel. Is dat bij andere gemeenten ook het geval?

“Voor zover ik weet leeft Europa niet echt bij de middelgrote en kleine gemeenten. Dat heeft voornamelijk twee redenen. Ten eerste heeft ‘Brussel’ weinig aandacht voor de uitvoerbaarheid van Europees beleid op lokaal niveau. Lang leve het werk dat het Comité van de Regio’s voor ons verricht, maar we zijn er nog lang niet. Ten tweede, gemeenten hebben vaak andere prioriteiten dan het in de gaten houden van Europese ontwikkelingen. Ze zijn bezig met overleven, zo simpel is het. Het is ook lastig hoor, vooral het onderwerp cyberveiligheid. Als burgemeester krijg ik bijvoorbeeld wel gegevens over woningbraken en fietsendiefstallen, maar niets over de cybercrime. De gemeente Wijk bij Duurstede geeft digitale veiligheid wel prioriteit in het veiligheidsbeleid, maar als we er niets over weten, kunnen we er onvoldoende mee.”

Brussel heeft weinig aandacht voor uitvoerbaarheid van Europees recht op lokaal niveau.

Hoort bij uw rol als cyberburgemeester de agendasetting van cyberveiligheid bij gemeenten?

“Ja, dat is nodig. Ik werd cyberburgemeester omdat ik me vanuit mijn vorige rol flink verbaasde over uitspraken als “het komt wel”, “dat ligt niet bij mij” en “ik heb al zoveel op mijn bordje”. Veel collega’s vonden daarnaast dat cyberveiligheid de verantwoordelijkheid is van het Rijk. Dat is begrijpelijk: het is technisch en complex en voor velen een reden om het voor zich uit te schuiven. Voor mij staat wel urgentie voorop. Sinds de oorlog in Oekraïne krijgen wij namelijk in de gemeente vier keer per dag te maken met DDOS-aanvallen op onze vluchtelingengroep, hacks dus. Ik voel daardoor sterk de verantwoordelijkheid om digitale veiligheid hoog op de agenda te zetten. Ik heb er alle vertrouwen in dat dat – misschien soms op termijn – zijn vruchten af gaat werpen. Stoppen is dan ook geen optie, want het wordt alleen maar meer.”

Stoppen is geen optie.

Hoe zorgt u er voor dat medewerkers inzien dat cyberveiligheid een taak voor elke ambtenaar is?

“De kwaliteit van onze dienstverlening vraagt dat we 24/7 up and running en veilig zijn. Wanneer je het over de kwaliteit van de dienstverlening hebt, snapt iedereen het. Dan gaat het namelijk over beleidsvoering: dat is van ons allemaal, daar zijn we voor aangenomen. In feite draait het daar ook om. Het gaat niet zozeer om welke technische tools je gebruikt; het gaat erom dat die dienstverlening veilig en betrouwbaar moet zijn.”

Ziet u in de begroting prioritering van cyberveiligheid of digitalisering terug?

“Nee, we hebben en krijgen te weinig geld hiervoor, terwijl je op gemeentelijk niveau veel kunt regelen. Er kan basisinfrastructuur aangelegd worden die veilig is en privacy respecteert. Dan hoef je de hele discussie over autonomie van gemeenten echt niet te voeren. De kleinere gemeentes kunnen het gewoon echt niet alleen. Dat vervolgens aangrijpen om maar te zeggen dat ‘die kleintjes’ dan te klein zijn voor hun wettelijke taak en maar moeten fuseren, vind ik een beetje flauw.”

Hoe zorgt u ervoor dat die decentrale overheden alsnog met hun digitale veiligheid aan de slag gaan?

“Een leuk initiatief hiervoor zijn de ‘peer-to-peergesprekken’ waar de VNG een tijdje geleden mee begonnen is. Dat zijn gesprekken met twee willekeurige gemeenten en een cyberburgemeester als gespreksleider. Per gemeente zitten een burgemeester, gemeentesecretaris, openbare orde- en veiligheidsadviseur, een Chief Information Security Officer (CISO), en nog wat anderen bij elkaar. In die gesprekken gebeurt vaak iets bijzonders. Iedereen ziet er een beetje tegenop, want het is lastige materie, maar je moet het er met elkaar over hebben. Dan merk je dat je in je eigen kamer eerst ongemakkelijk met de CISO praat, omdat die technische taal gebruikt en bestuurders vaak dingen zeggen waar de CISO weer weinig van begrijpt. Bij de andere gemeente gaat het vervolgens precies hetzelfde. Zo wordt het uiteindelijk een erg leuk gesprek. Er komen altijd leuke dingen uit die ze van elkaar leren en er worden altijd vervolgafspraken gemaakt. Die olievlek proberen we uit te spreiden.”

Peer-to-peergesprekken tussen gemeenten beginnen vaak een beetje ongemakkelijk, maar blijken achteraf altijd nuttig te zijn.

“Daarnaast werkt in Wijk bij Duurstede de inzet van een digitale wijkagent. Hij heeft bevoegdheden om op sociale media opsporingen te doen; ik mag dat bijvoorbeeld niet. Hij kijkt vooral naar strafbare feiten die bijvoorbeeld via smartphone of websites worden gepleegd. De reguliere wijkagenten komen daar niet aan toe. De digitale wijkagent komt bij iedereen die gehackt is even langs om te kijken en te praten. Daar zijn we hartstikke blij mee.

Als laatste tip aan gemeenten: praat met je CISO. Bestuurders en CISO’s zijn volgens mij nog niet overal goed in gesprek. Dat praten met die CISO kan bijvoorbeeld ook tijdens oefeningen van cyberdreigingen. Dat is trouwens ook een goede tip: oefeningen doen. Zo ben je beter voorbereid als het een keer echt gebeurt. En als het dan een keer wel fout gaat, vertel het verhaal dan. Je schaamt je er misschien voor, maar gooi het toch open, want je moet het van elkaar weten. Dan zien bestuurders in dat dit echt gebeurt en dus ook bij hen kan gebeuren. Werk aan de winkel dus!”

Bestuurders, praat met je CISO.

Achtergrond van het voorstel

De Verordening Gigabitinfrastructuur moet de bestaande Richtlijn betreffende de verlaging van de breedbandkosten gaan updaten. Het doel is het faciliteren en stimuleren van de uitrol van hogesnelheidsnetwerken, zodat er in 2030 5G-dekking is in de hele Europese Unie. Omdat de voorganger van deze verordening een richtlijn was die moest worden omgezet in nationale regelgeving, ontstond er uiteenlopende nationale regelgeving. De voorgestelde verordening moet ervoor zorgen dat alle lidstaten dezelfde regels hanteren.

Op deze pagina van Kenniscentrum Europa Decentraal is meer te lezen over het voorstel van de Commissie.

Standpunt van de Raad

Op 5 december 2023 heeft de Raad van de EU zijn gemeenschappelijke standpunt bepaald over het voorstel. Dit standpunt laat zien wat de Raad wil wijzigen aan het voorstel. Dit kan de wetgevingsprocedure versnellen, omdat het Parlement zich beter kan voorbereiden op de onderhandelingen met de Raad. In het standpunt staan twee interessante punten voor decentrale overheden.

• Ten eerste wil de Raad een extra lange overgangsperiode voor kleine gemeenten. Er moet een periode van 24 maanden zitten tussen het moment dat de verordening in werking treedt en het moment dat de regels van toepassing worden. Voor gemeenten met minder dan 3.500 inwoners moet deze overgangsperiode met nog eens met twaalf maanden verlengd kunnen worden volgens de Raad. Zo hebben gemeenten die minder capaciteit en kennis in huis hebben vanwege hun omvang, toch genoeg tijd om zich aan te passen aan de nieuwe regels.
• Ten tweede wil de Raad niet dat vergunningen stilzwijgend verleend kunnen worden. Een van de doelen van de verordening is het stroomlijnen van vergunningsprocedures en de Commissie had daarom in het voorstel opgenomen dat een aanvraag onder bepaalde voorwaarden stilzwijgend mag worden goedgekeurd. De Raad laat in het standpunt weten dit stilzwijgend goedkeuren te willen schrappen.

Vervolgstappen

Nu duidelijk is wat het standpunt van de Raad is, zullen de onderhandelingen over de definitieve tekst van de verordening tussen het Europees Parlement en de Raad van de EU beginnen. De Raad wil voor het einde van het jaar zoveel mogelijk vooruitgang boeken met deze onderhandelingen.

Bron

Verordening gigabitinfrastructuur: Raad bepaalt standpunt voor snellere uitrol van hogesnelheidsnetwerken in de EU, persbericht van de Raad van de EU

Meer informatie

Commissie stelt Gigabit Infrastructuur Verordening voor, Kenniscentrum Europa Decentraal

Connectiviteit, Kenniscentrum Europa Decentraal

Tijdlijn Digitalisering, Kenniscentrum Europa Decentraal

De nieuwe Cyberweerbaarheidsverordening moet hiervoor zorgen. Op 30 november 2023 bereikten het Europees Parlement en de Raad van de EU een akkoord over de veiligheidseisen voor digitale producten.

Cyberweerbaarheidsverordening

De Cyberweerbaarheidsverordening heeft als doel om de beveiliging van digitale producten aan de hand van certificering te verbeteren. De nieuwe regels moeten ervoor zorgen dat producten met digitale functies veilig te gebruiken zijn, veerkrachtig zijn tegen cyberdreigingen en voldoende informatie geven over hun beveiligingseigenschappen. De verordening regelt dat op dit gebied voor alle EU-lidstaten dezelfde regels gaan gelden.

De nieuwe regels bevatten vereisten voor het ontwerp, de ontwikkeling en vervaardiging van producten met digitale elementen. Daarnaast komen er regels voor het handhaven van de nieuwe verordening. Hiervoor moeten de lidstaten één of meer autoriteiten aanwijzen. Ook het EU-agentschap voor cybersecurity (ENISA) krijgt een grotere rol. Dit agentschap moet worden betrokken als er sprake is van een incident of een andere soort cyberdreiging.

Vervolgstappen

De Raad en het Parlement zijn nu tot een informeel akkoord gekomen, waarbij enkele wijzigingen zijn aangebracht. Zo is de eerder genoemde grotere rol voor ENISA toegevoegd. Verder zijn er extra steunmaatregelen voor midden- en klein bedrijven (MKB) in de verordening opgenomen.

De overeengekomen tekst van de Cyberweerbaarheidsverordening zal nu formeel aangenomen moeten worden door zowel de Raad als het Parlement. Zodra de verordening is aangenomen, zal deze twintig dagen na publicatie ervan in het Publicatieblad in werking treden. Na de inwerkingtreding krijgen fabrikanten, importeurs en distributeurs van digitale producten 3 jaar de tijd om zich aan te passen aan de nieuwe regels.

Decentrale relevantie

Decentrale overheden in Nederland zijn druk bezig met de digitale transformatie. Bij het aanbieden van veilige digitale overheidsdiensten hoort een goede cyberbeveiliging. Het is dus belangrijk dat overheden bij het inzetten van digitale producten er zeker van kunnen zijn dat deze producten aan de veiligheidseisen van de EU voldoen. Met deze verordening wordt dat een stuk duidelijker door de certificering en andere veiligheidseisen.

Daarnaast hebben decentrale overheden een adviserende rol ten opzichte van het bedrijfsleven. Fabrikanten zijn onder de nieuwe regels verplicht om ervoor te zorgen dat producten met digitale elementen die op de EU-markt worden aangeboden aan de beveiligingsvereisten voldoen. Dit is gunstig voor burgers en ondernemingen die deze producten gebruiken. De transparantie van de beveiligingskenmerken vergroot, het vertrouwen in de producten neemt toe en gegevens worden beter beschermd.

Bronnen

Cyber Resilience Act: agreement with Council to boost digital products’ security, persbericht van het Europees Parlement

Verordening cyber­weerbaarheid: Raad en Parlement akkoord over veiligheidseisen voor digitale producten, persbericht van de Raad van de EU

Meer informatie

Nieuwe verordening inzake cyberweerbaarheid voorgesteld, Kenniscentrum Europa Decentraal

Cybersecurity, Kenniscentrum Europa Decentraal

Achtergrond: CEF Digitaal

Connecting Europe Facility (CEF) is een financieringsprogramma van de EU dat groei, werkgelegenheid en concurrentievermogen in de EU bevordert. Het CEF-programma bevat drie onderdelen: Transport, Energie en Digitaal. Voor dit laatste onderdeel heeft de Europese Commissie een nieuwe reeks oproepen gepubliceerd en middelen beschikbaar gemaakt.

CEF Digitaal is gericht op betere connectiviteit in de EU. Connectiviteit is één van de speerpunten van het Digital Decade programma. Met connectiviteit wordt bedoeld dat bijvoorbeeld in heel de EU digitale communicatie mogelijk is en dat elke EU-burger wordt betrokken bij de digitale samenleving en toekomst.

Voor connectiviteit is digitale infrastructuur nodig. Denk aan ondergrondse kabels voor glasvezel en antennes voor 5G. Met CEF Digitaal ondersteunt de EU de ontwikkeling en realisatie van een innovatieve, veilige en duurzame digitale infrastructuur. Er zijn meerdere acties en oproepen binnen dit fonds. Nu is de derde ronde geopend.

Derde ronde oproepen

De Commissie verdeelt de meer dan 240 miljoen euro over drie soorten projecten. De verdeling is als volgt:

• 100 miljoen euro voor projecten over 5G-dekking langs transportroutes
• 51 miljoen euro voor projecten over 5G en ‘edge cloud’ voor ‘smart communities’
• 90 miljoen euro voor projecten over backbone-connectiviteit voor Digital Global Gateways

5G-dekking langs transportroutes

Bij 5G-dekking langs transportroutes gaat het om de aanleg van 5G-infrastructuur, zoals zendmasten en buizen. De uitrol hiervan in afgelegen gebieden en grensgebieden draagt bij aan het verbinden van alle verschillende regio’s in de EU. Deze financiering kan dus worden gebruikt om buitengebieden waar weinig mensen wonen toch van een 5G-netwerk te voorzien. Daarmee is deze oproep ook relevant voor landelijke gemeenten in Nederland.

Deze oproep is met name gericht op 5G-netwerken langs transportroutes door heel de EU. Een betere digitale infrastructuur langs deze routes zal volgens de Commissie zorgen voor meer verkeersveiligheid en een meer geoptimaliseerd wegverkeer.

5G en ‘edge cloud’ voor ‘smart communities’

Vaak worden gegevens van meerdere externe locaties en apparaten in een centraal datacenter verwerkt. ‘Edge cloud’ zorgt ervoor dat verwerking van die gegevens over meerdere apparaten wordt verspreid en dicht bij de databron blijft. Dit verbetert de reactietijd van externe apparaten en reguleert de belasting van netwerken en het centrale datacenter.

In ‘smart cities’ of ‘smart communities’ wordt egde cloud gebruikt om betere digitale ‘slimme’ diensten aan inwoners, bedrijven of bezoekers te bieden. Smart cities zijn erop gericht om met digitale diensten de kwaliteit van leven in dat gebied te verbeteren. Met 5G-netwerken en edge cloud zijn er creatieve toepassingen mogelijk. Zo kunnen snelle verbindingen bijdragen aan een beter beheer van energie of water, kunnen ze helpen het aantal files te verminderen door ‘live-monitoring’, of maken ze het mogelijk om lantaarnpalen zo af te stellen dat ze aan gaan precies op het moment dat het donker wordt.

Backbone-connectiviteit voor Digital Global Gateways

Het Engelse woord ‘backbone’ kan vertaald worden naar het woord ruggengraat en dat is niet zonder reden. Backbone-netwerken kunnen gezien worden als de ruggengraten van het internet. Een backbone is een groot stelsel van snelle computerverbindingen waarop kleinere netwerken zijn aangesloten. Er liggen bijvoorbeeld backbone-netwerken tussen de VS en Europa maar ook tussen steden in Nederland. CEF Digitaal kan projecten voor het aanleggen van backbone-netwerken ondersteunen om de veerkracht van de connectiviteit op afgelegen of dunbevolkte gebieden te verbeteren. Het steunen van dit soort projecten sluit aan bij de Global Gateway-strategie van de EU. Dit is een strategie die connectiviteit in partnerlanden van Europa faciliteert.

Deelnemen

Aanvragen voor financiering kunnen worden ingediend tot 17 januari 2024. De Europese Commissie organiseert op 26 oktober 2023 van 9:30 tot 13:20 uur een online informatiedag. Daar zal informatie worden gegeven over onder andere de aanvraag-, evaluatie- en gunningsprocedure. Op deze site is daarover meer informatie te vinden.

Bron

Over €240 million to further support digital connectivity infrastructures, persbericht van de Europese Commissie

De CER-richtlijn is op 27 december 2022 in het Publicatieblad van de EU gepubliceerd. In januari 2023 is de implementatietermijn van 21 maanden gestart. Lidstaten moeten dus binnen die tijd de richtlijn opnemen in de nationale wetgeving.

CER richtlijn

Onder kritieke entiteiten wordt een publieke of particuliere entiteit verstaan die essentiële diensten uitvoert, zoals drinkwatervoorziening. De CER-richtlijn heeft als doel om deze kritieke entiteiten, die van cruciaal belang zijn voor vitale maatschappelijke functies en economische activiteiten, te beschermen en hun weerbaarheid te vergroten. De risico’s die de levering van deze essentiële diensten kunnen verstoren moeten volgens de richtlijn in kaart worden gebracht. Ook moeten deze entiteiten passende maatregelen nemen om hun weerbaarheid te waarborgen. Onder het toepassingsgebied vallen onder andere de sectoren energie, drinkwater en gezondheid. Daarnaast gelden er regels voor overheidsinstanties.

Opeenvolgend aan artikel 5 en de evaluatie voorwaarden uit artikel 23 van de richtlijn heeft de Commissie als doel om een gedelegeerde verordening aan te nemen voor 17 november 2023. Deze verordening moet de richtlijn ondersteunen door verdere invulling te geven aan de lijst van essentiële diensten in de (sub)sectoren. Het is de bedoeling dat deze lijst gebruikt gaat worden door bevoegde autoriteiten van lidstaten met als doel het uitvoeren van risico analyses. Het identificeren van kritieke entiteiten overeenkomstig de richtlijn wordt op deze manier verbeterd.

Lidstaten kunnen deze lijst aanvullen met bijkomende essentiële diensten op nationaal niveau, met name door rekening te houden met specifieke nationale kenmerken bij de verlening van essentiële diensten.

Decentrale relevantie

Onder het toepassingsgebied van de richtlijn vallen entiteiten uit diverse sectoren, zoals energie, vervoer, gezondheid, drinkwater, afvalwater en ruimtevaart. Sommige bepalingen van de richtlijn zullen ook gelden voor decentrale overheden. Denk hierbij aan zaken rondom de digitale infrastructuur, drinkwater sectoren en publieke administratie sectoren.

Bron

CER-richtlijn – lijst van essentiële diensten die door kritieke entiteiten worden verleend, Europese Commissie

Meer informatie

Cybersecurity, Kenniscentrum Europa Decentraal

Richtlijn inzake de veerkracht van kritieke entiteiten, Kenniscentrum Europa Decentraal

Achtergrond

De EUCC (Common Criteria-based European Cybersecurity Certification Scheme) is een certificeringsprogramma dat onderdeel is van de Cyberbeveiligingsverordening. Dit programma maakt het mogelijk om digitale producten, diensten en processen op een uniforme manier te certificeren op de Europese markt. Dit geeft consumenten nauwkeurige informatie over de veiligheid van hun ICT-producten en -diensten.

Feedback

Het voorstel van de Europese Commissie is een uitvoeringsverordening met daarin de uitwerking en regels betreffende de ‘Common Criteria’ (CC): de richtlijnen waarmee software en hardware op het gebied van cyberbeveiliging worden geëvalueerd en gecertificeerd. Over dit voorstel kan tot 31 oktober 2023 feedback worden ingezonden.

Bron

Cyberbeveiliging – beveiligingsvereisten voor ICT-productcertificering – Europese Commissie

Meer informatie:

Cybersecurity – Kenniscentrum Europa Decentraal

Naar aanleiding hiervan heeft de Europese Commissie in november 2022 een voorstel voor een verordening over kortetermijnverhuur gedaan. Inmiddels hebben ook de Europese Raad en het Europees Parlement zich over dit onderwerp uitgesproken.

Voorstel van de Europese Commissie

Met de voorgestelde verordening wil de Commissie verschillende doelen bereiken. Zo wil de Commissie onder andere de verplichting voor de registratie van verhuurders harmoniseren, de regels rondom die registratie verduidelijken en de uitwisseling van gegevens tussen overheidsinstanties en online platforms bevorderen door middel van een centraal digitaal toegangspunt. Over het voorstel van de Commissie is in dit bericht van Kenniscentrum Europa Decentraal meer te lezen.

Standpunt van de Europese Raad en het Europees Parlement

Europese Raad

De Europese Raad heeft op 2 maart 2023 zijn standpunt gepubliceerd over de gegevensverzameling en -uitwisseling bij kortetermijnverhuur. De Europese Raad stelt daarin voor om de uitvoering van de registratieplicht vorm te geven met een registratienummer. Iedere accommodatie die voor een kleine periode per jaar wordt verhuurd krijgt een nummer zodat de identiteit van de verhuurder bekend is bij de juiste overheidsinstantie. Het gaat dan om accommodaties die steeds een beperkt aantal dagen per jaar worden verhuurd. Ook woningen die voor langere periodes worden verhuurd vallen onder de voorgestelde verordening, mits de woning niet langer dan één jaar achter elkaar wordt verhuurd. Met de registratieplicht krijgen overheden de juiste gegevens om de online platforms te reguleren en wordt fraude bestreden aldus de Europese Raad.

Europees Parlement

Op 19 september 2023 is het standpunt van het Europees Parlement gepubliceerd. Hierin worden verscheidende amendementen uitgezet. Zo wil het Parlement dat lidstaten gezamenlijk één digitaal toegangspunt opzetten om maandelijkse gegevens van online platforms over de activiteiten van verhuurders te verzamelen. Hieronder valt onder andere het eerder genoemde registratienummer, maar ook het adres van de accommodatie en de webpagina(‘s) waarop de accommodatie staat geadverteerd. Het Parlement stelt voor dat lidstaten achttien maanden de tijd krijgen om hun registratiesystemen en andere digitale infrastructuur op te zetten volgens de nieuwe regels.

Daarnaast heeft het Parlement op 19 september 2023 over de voorgestelde verordening gestemd. De uitkomst: de aangepaste tekst is aangenomen met 31 stemmen vóór, geen tegen en één onthouding.

Decentrale relevantie

In Nederland is sinds 1 januari 2021 de Wet toeristische huur van kracht. Deze wet zorgt ervoor dat gemeenten maatregelen kunnen nemen als er schaarste is op de woningmarkt. Voorbeelden van dit soort maatregelen zijn een registratieplicht en een vergunningplicht. Het verschilt echter per gemeente welke maatregelen zij inzetten. De nieuwe verordening zou lidstaten verplichten om hiervoor een nationaal digitaal toegangspunt op te zetten. Via zo’n systeem kan informatie op een centralere manier worden verzameld en uitgewisseld. Zo hebben decentrale overheden meer overzicht over zowel de kortetermijnverhuur in hun omgeving als in andere regio’s. Dit nationaal gecoördineerde systeem zal de grootste verandering zijn voor gemeenten. Het is nog niet zeker wat er precies zal veranderen voor gemeenten wat betreft de regelgeving. Dit zal duidelijk worden wanneer de definitieve inhoud van de verordening is bepaald.

Hoe nu verder?

Omdat het Europees Parlement na de eerste lezing amendementen heeft toegevoegd, kan het voorstel nog niet worden aangenomen. Er zal nu eerst overlegd moeten worden met de Europese Raad. Dit overleg gaat via onderhandelingen tussen vertegenwoordigers van de Europese Commissie, Europese Raad en het Europees Parlement. Het Europees Parlement verwacht dat de onderhandelingen nog voor het einde van 2023 kunnen worden afgerond. Daarna zal meer duidelijk worden over welke regels wanneer gaan gelden.

Bronnen

Short-term rentals: increasing transparency and curbing illegal listings, persbericht van het Europees Parlement

Raad bepaalt standpunt over gegevensverzameling en -uitwisseling voor kortetermijnverhuur van accommodatie, persbericht van de Europese Raad