Recent is de nieuwe Richtlijn netwerk- en informatiesystemen (NIS2-richtlijn) aangenomen. De NIS2-richtlijn moet de Europese Unie weerbaarder maken tegen cyberaanvallen. Europese bedrijven en overheden die onder deze richtlijn vallen zijn verplicht te voldoen aan een bepaald niveau van cyberveiligheid. En dat is hard nodig: in slechts vier gemeenten werd in het afgelopen halfjaar géén melding gedaan van cybercrime, zo wordt op basis van politiecijfers gemeld door VPNgids.nl. De cyberveiligheid van gemeenten staat dus onder druk. Hoe weren gemeenten zich tegen de toename van cybercrime? KED sprak met cyberburgemeester Kees van Rooij over welke uitdagingen de gemeente Meierijstad ervaart op het gebied van cyberveiligheid en over hoe de gemeente andere digitale dossiers aanpakt.
Cyberburgemeesters
Op het gebied van cyber, ofwel digitale veiligheid zijn er voor gemeenten nog een aantal fundamentele uitdagingen waaraan gezamenlijk moet worden gewerkt. Daarom is een groep burgemeesters het overleg ‘cyberburgemeesters’ gestart. Het overleg heeft als hoofddoel om elkaar over belangrijke digitale ontwikkelingen, bedreigingen en oplossingen te informeren of om er aandacht voor te vragen.
Waarom heeft u zich bij het overleg cyberburgemeesters gevoegd?
‘Digitale veiligheid is overal. Elke vorm van criminaliteit heeft wel een digitale component. Digitalisering is namelijk ook overal. Het is de kunst om digitalisering niet als iets extra’s te zien, maar om zaken logisch aan elkaar te verbinden. Dat betekent soms dat je ergens een podium moet pakken. Daarom heb ik de portefeuille van cyberburgemeester in de regio Oost-Brabant opgepakt. In het begin was het zoeken. Samen met een andere beginnende cyberburgemeester uit het noorden van het land heb ik besproken wat deze rol precies betekent en hoe we hier invulling aan wilden geven. Inmiddels bestaat er een actief platform van cyberburgemeesters met een landelijke dekking.’
Burgemeesters hebben het druk, met onder meer het voorzitten van de raad, het leiden van het college en de veiligheid binnen de gemeente. Wat betekent de functie van cyberburgemeester voor uw dagelijkse werkzaamheden?
‘Met het platform van cyberburgemeesters vragen we landelijk aandacht voor het lokale perspectief op digitale veiligheid. Lokaal worden er concrete activiteiten georganiseerd, zoals laatst een bewustwordingsbijeenkomst voor senioren in Sint-Oedenrode. In Oost-Brabant ben ik voorzitter van de Regionale Bestuurlijke Programmaraad Digitale Veiligheid Oost-Brabant waarbij we met 32 gemeenten, politie, OM, Platform Veilig Ondernemen en Veiligheidsregio’s samenwerken op dit thema. Een van onze initiatieven was dat we in april 2022 een groots Symposium Cyber voor gemeenten en ondernemers hebben georganiseerd. Deze activiteiten kosten inderdaad tijd, maar ik vind het belangrijk om mij hiervoor in te zetten.’
Stemt u veel af met andere cyberburgemeesters voor het platform?
‘We hebben een aantal keer per jaar overleg. Onlangs nog was dat een fysieke bijeenkomst tijdens de Bestuurdersdag van de Vereniging van Nederlandse Gemeenten (VNG); toen hebben we elkaar uitgebreid gesproken. Het afgelopen jaar hebben we ook Koffiecolleges georganiseerd, zodat we als cyberburgemeesters op gelijke vlieghoogte komen. De term ‘vlieghoogte’ gebruik ik graag; we zijn als cyberburgemeesters namelijk een zwerm. We zoeken elkaar op wanneer nodig en gaan in gesprek met landelijke partijen waar nodig. Daarna komen we weer bij elkaar om elkaar te informeren, uiteraard doen we dit ook digitaal! Tot slot heeft de VNG bestuurlijke gesprekken georganiseerd, welke wij als Cyberburgemeesters voorzitten. Gemeenten gaan dan met elkaar in gesprek over dit onderwerp.’
We zijn als cyberburgemeesters een zwerm. We zoeken elkaar op wanneer nodig en gaan in gesprek met landelijke partijen waar nodig.”
In het ondertekende pamflet van het overleg cyberburgemeesters uit maart 2021 staat de oproep voor meer landelijke support en regie. Het is nu bijna twee jaar later. Welke veranderingen heeft u gemerkt?
‘We worden als platform steeds beter gehoord door andere stakeholders. Zij weten ons te vinden en wij hen. We zijn er van overtuigd dat we door als zwerm te opereren de juiste partijen spreken om onze doelstellingen uit het pamflet te realiseren. We zien al meer beweging in het land dan 1,5 jaar geleden. Ons pleidooi voor het voeren van landelijke regie op de aanpak van digitale onveiligheid en de oproep voor structurele aandacht en financiering voor de bestuurlijke en preventieve aanpak van digitale onveiligheid op lokaal niveau heeft gehoor gevonden.’
Werkt de gemeente samen met andere gemeenten op het gebied van digitale vraagstukken, of met de provincie Noord-Brabant?
‘Een gemeente heeft op zichzelf geen grote slagkracht tegen grote multinationals of om landelijke wetgeving geregeld te krijgen. Daarom is samenwerken heel belangrijk. Deze samenwerking vindt regionaal plaats tussen de 32 gemeenten, politie en OM. Landelijk werken we veel samen met o.a. de VNG en het CCV. Zo zijn er bijvoorbeeld handreikingen en sjablonen voor implementatie opgemaakt en gedeeld. Vaak zijn er ook koplopers die het pad effenen bij digitale vraagstukken. Op het gebied van informatieveiligheid zorgt de Informatiebeveiligingsdienst voor veel samenwerking en delen van kennis. In de regio Oost-Brabant hebben we naast de Programmaraad Digitale Veiligheid ook de ICT-samenwerking “Gesicht”. Dit is een kennisplatform waarin ervaringen over de aanpak van digitale dossiers worden uitgewisseld.’
Een gemeente heeft op zichzelf geen grote slagkracht tegen grote multinationals of om landelijke wetgeving geregeld te krijgen. Daarom is samenwerken heel belangrijk.”
Op 1 januari 2017 zijn de gemeenten Veghel, Sint-Oedenrode en Schijndel gefuseerd tot de gemeente Meierijstad. Merkt de gemeente andere uitdagingen op het gebied van cyberwetgeving nu het tot de grotere gemeenten van Noord-Brabant behoort?
‘Niet zozeer andere uitdagingen, wetgeving is immers voor iedereen gelijk, maar wel voordelen van schaalvergroting. Zaken die eerst geen aandacht hadden of waar geen handjes of kennis voor aanwezig was, worden nu meer standaard gezien. De uitdaging is wel om het in een grotere organisatie te laten ‘werken’. In een kleine gemeentelijke organisatie krijg je zaken sneller geregeld omdat de lijntjes korter zijn. Dit geldt voor zowel onze eigen digitale veiligheid als onze rol richting de samenleving om deze meer bewuster te maken van digitale veiligheid.’
In hoeverre volgt de gemeente Europese wetgeving op het gebied van digitale overheid? Is het allemaal nog behapbaar?
‘Dit is zeker behapbaar. Het is wel altijd een uitdaging om te kijken hoe we de Europese wetgeving kunnen inpassen, omdat deze (uiteraard) niet bedacht is voor het bestuur zoals dit in Nederland is ingericht. Kijk bijvoorbeeld naar de Single Digital Gateway: wij moeten ervoor zorgen dat Europese burgers voor bepaalde producten en diensten bij een centraal punt terecht kunnen. In Nederland hebben we een aantal van deze producten en diensten bij gemeenten ondergebracht, wat ertoe leidt dat meer dan 300 gemeenten dit moeten regelen om te voldoen aan de SDG-verordening. Dat is een hele kluif.
Tegelijkertijd zijn de Algemene Verordening Gegevensbescherming (AVG), de Digitale toegankelijkheidsrichtlijn en de NIS-richtlijn echt mooie voorbeelden van zaken die op Europees niveau geregeld zijn en waar wij veel profijt van hebben. Zo hebben we door de AVG een enorm krachtig instrument om bepaalde ontwikkelingen bij bijvoorbeeld softwareleveranciers af te dwingen. Een mooi voorbeeld hiervan is de overheidsbrede overeenkomst met Microsoft waarin landelijke afspraken zijn gemaakt, onder meer over de opslag van data op Europees grondgebied. Als wij als Meierijstad Microsoft hadden gebeld, dan was dit niet gelukt.’
De Algemene Verordening Gegevensbescherming, de Digitale toegankelijkheidsrichtlijn en de NIS-richtlijn zijn echt mooie voorbeelden van zaken die op Europees niveau geregeld zijn en waar wij veel profijt van hebben.”
Er komen veel verplichtingen op gemeenten af op het gebied van digitalisering. Wat zijn de grootste uitdagingen waar jullie tegenaan lopen?
‘De grootste uitdaging blijft de mens: burgers, maar ook medewerkers van de gemeente moeten maar meekunnen in deze digitale transformatie. Dus kennisopbouw is echt wel een uitdaging. Daarnaast zien we ook dat het verbeteren van ‘oude’ systemen veel tijd kost. Af en toe zou het handiger zijn als je landelijk iets vanaf nul opnieuw zou kunnen opbouwen, zoals bijvoorbeeld in Estland.’ [Estland staat al jaren bekend als de nummer één van Europa als het gaat om digitalisering van de overheid. Hier zijn bijvoorbeeld alle online diensten aangesloten op één overheidsportal, red.]
Wat zijn de belangrijkste dossiers op het gebied van digitalisering, naast cybersecurity?
‘Digitalisering speelt overal en neemt alleen maar toe. Naast de kansen die de technologische ontwikkelingen bieden zijn er ook risico’s. Ik heb als cyberburgemeester de aanpak van gedigitaliseerde criminaliteit uiteraard hoog op de agenda staan; hoe kunnen we er in Oost-Brabant, en dus ook in Meierijstad, voor zorgen dat minder mensen en bedrijven slachtoffer worden van digitale criminaliteit? Hiertoe zetten we concrete interventies in gericht op jongeren, het MKB en ouderen. Een mooi voorbeeld was dat we laatst een bijeenkomst hebben gefaciliteerd waarbij 75 senioren op een avond werden meegenomen in verschillende vormen van digitale criminaliteit en hoe ze zich daar tegen kunnen wapenen. Dit alles om de cyberweerbaarheid te vergroten Inclusie wordt binnen onze gemeente ook heel belangrijk gevonden. Daarom is er veel aandacht voor digitale toegankelijkheid.’
Wat merken burgers hiervan?
‘We willen burgers bereiken door ze goed te informeren en handelingsperspectief te bieden. Dit kan door communicatie of door het organiseren van kennissessies. De kunst is hierbij om dit via de bestaande kanalen te laten verlopen. Samenwerking tussen de gemeentelijke domeinen zoals bijvoorbeeld Jeugd, Sociaal Domein, Economie en Openbare Orde en Veiligheid is hierbij van groot belang. Digitale veiligheid is immers belangrijk voor ons allemaal.’
Met dank aan: burgemeester Kees van Rooij, gemeente Meierijstad
Meer informatie
Cybersecurity, Kenniscentrum Europa Decentraal