Ja, de Dienstenrichtlijn stelt eisen aan productbeschrijvingen. De productbeschrijvingen die onder de Dienstenrichtlijn vallen moeten in ieder geval het volgende bevatten: een ondernemersvriendelijke uitleg van de regelgeving; de mogelijkheid om bijbehorende procedures digitaal via het dienstenloket aan te vragen; en de letterlijke tekst van de regelgeving. Deze informatie moet actueel, duidelijk en ondubbelzinnig zijn en zowel voor Nederlandse als buitenlandse dienstverleners beschikbaar zijn.

Dienstenloket

De Dienstenrichtlijn stelt verplicht dat elke lidstaat een centraal digitaal loket heeft waar zowel Nederlandse als buitenlandse dienstverleners terecht kunnen voor informatie en het aanvragen van vergunningen. Deze eis is ook opgenomen in de Dienstenwet. In Nederland vervult het Ondernemersplein deze functie en kunnen dienstverleners gebruik maken van de Berichtenbox voor bedrijven voor het aanvragen en afhandelen van de benodigde vergunningen. Alle (decentrale) overheden hebben vastgesteld welke vergunningstelsels en eisen onder de Dienstenrichtlijn vallen. Deze producten moeten gelinkt zijn aan het dienstenloket en dus  voldoen aan de daaraan gestelde eisen. Het dienstenloket vervult drie functies die hieronder verder toegelicht zullen worden met betrekking tot de productbeschrijvingen.

1. Het toegankelijk maken van informatie

De eerste functie die het dienstenloket, en daarmee de productbeschrijvingen van de decentrale overheden, moet vervullen is het bieden van informatie voor dienstverleners en -afnemers. Artikel 8 Dienstenwet geeft een opsomming van de informatie die via het Dienstenloket toegankelijk moet worden gemaakt. Dit betreft:

-De eisen of vergunningstelsels waarbij de bevoegde instantie is betrokken en haar naam en adresgegevens;
– De rechtsmiddelen die algemeen voorhanden zijn voor het beslechten van geschillen tussen haar en een dienstverlener/afnemer of tussen een dienstverlener en een afnemer over eisen en vergunningstelsels waarbij zij is betrokken;
– De middelen en voorwaarden om toegang te krijgen tot een openbaar register of een openbare databank met gegevens over dienstverleners en diensten, voor zover die instantie daarbij betrokken is.

Al deze informatie moet actueel, duidelijk en ondubbelzinnig zijn (art. 9 Dienstenwet). Doordat een gemeente is aangesloten op het systeem ‘Samenwerkende Catalogi’ zijn haar productbeschrijvingen automatisch gekoppeld aan de website van het dienstenloket. De gemeente is verantwoordelijk om te checken of de informatie ook echt goed vindbaar is en aan deze eisen voldoet.

2. Het op verzoek verlenen van bijstand

Naast het vormen van een centraal informatiepunt is het dienstenloket ook de plek waar dienstverleners en -afnemers terecht kunnen voor bijstand vanuit de decentrale overheden (art. 7 lid 2 Dienstenrichtlijn en art. 12 en 25 Dienstenwet). Deze bijstand is gericht op het geven van algemene informatie over de wijze waarop eisen (en vergunningstelsels) van decentrale overheden doorgaans worden uitgelegd en toegepast. Ook deze informatie moet actueel, duidelijk en ondubbelzinnig zijn.

Omwille van de toegankelijkheid is het daarnaast van belang dat de productbeschrijving de mogelijkheid noemt om te communiceren via de Berichtenbox voor bedrijven.

3. Het afwikkelen van procedures en formaliteiten

Tot slot moet het dienstenloket de mogelijkheid bieden om digitaal transacties te doen. Dit houdt in dat decentrale overheden het mogelijk moeten maken dat dienstverleners alle (vergunning)procedures en formaliteiten op afstand en elektronisch via het Dienstenloket met hen kunnen afwikkelen (art. 6 en 8 Dienstenrichtlijn en art. 13 t/m 16 Dienstenwet). Het gaat er hierbij om dat een dienstverlener de administratieve stappen die nodig zijn om aan een eis te voldoen of een vergunning te verkrijgen, elektronisch moet kunnen doorlopen.

In Nederland vervult de Berichtenbox deze transactiefunctie. De productbeschrijving dient daarom uitleg te bevatten over het recht om te communiceren via het Dienstenloket met de daarbij behorende link naar de Berichtenbox. Bij het digitale aanvraagformulier moet een invulveld aanwezig zijn om de eigen Berichtenboxnaam in te vullen zodat het e-mailcontact automatisch via de Berichtenbox kan verlopen.

Bij digitale dienstverlening is vaak sprake van een formulier in pdf formaat. Dit bestand moet downloadbaar zijn en een instructie bevatten over hoe dit formulier als bijlage met de Berichtenbox verstuurd kan worden. Hierbij is het van belang dat het formulier ook te gebruiken is door een buitenlandse ondernemer. Daarvoor is het bijvoorbeeld van belang dat de postcode, het adres en het telefoonnummer niet alleen in het Nederlandse format ingevuld kunnen worden. Let er ook op dat geen gebruik wordt gemaakt van inschrijvingsnummer bij de Nederlandse KvK of DigiD, want die heeft een (buitenlandse) ondernemer niet.

Meer informatie:

Centraal loket, Kenniscentrum Europa Decentraal

Dienstenrichtlijn: Procedures, Kenniscentrum Europa Decentraal

Checklist- Voldoen aan de Dienstenwet, digitale overheid

De Digitermenlijst is verdeeld in vier categorieën, die eerder ook te zien waren in het overzicht netwerken en platforms over digitalisering. Deze zijn:

• Toegankelijkheid Digitale Samenleving;
• Privacy en Data;
• Cyberveiligheid;
• Technologie en Markt.

De Digitermenlijst is een ‘dynamische’ lijst. Mist u nog termen of zoekt u nog verdere verduidelijking? Neem dan vooral contact op via info@europadecentraal.nl of via de helpdesk.

Ja, omdat de NIS2-Richtlijn actieruimte geeft voor iedere overheid (we spreken hierna van “de gemeente”). Dit komt vanwege artikel 2 lid 5 NIS2-Richtlijn en de keuze van de Nederlandse overheid om decentrale overheden aan te merken als overheidsinstantie, en als essentiële entiteit onder de Richtlijn. Het gebrek aan implementatie heeft gevolgen voor de rechtspositie van particulieren (natuurlijke en rechtspersonen) waar de gemeente rekening mee moet houden.

Richtlijn 2022/2555 (hierna: “NIS2”) is een gelaagde Richtlijn die voor de toepassing op decentrale overheidsinstanties twee belangrijke voorvragen geeft. Het startpunt voor het antwoord ligt dan ook bij de voorvraag of de gemeente een overheidsinstantie is volgens artikel 2 van de NIS2. Vervolgens moet de decentrale overheid aangemerkt worden als belangrijke of essentiële entiteit volgens artikel 3 NIS2. Daarna komt in deze praktijkvraag de Europeesrechtelijke consequenties aan bod van de hoogstwaarschijnlijk te laat geïmplementeerde NIS2 Richtlijn.

Voorvraag 1: gemeente waarschijnlijk overheidsinstantie onder NIS2

NIS2 maakt onderscheid tussen centrale, regionale, en lokale overheidsinstanties: Artikel 2 lid 2 onder f spreekt van entiteiten als overheidsinstanties, als het om overheidsinstanties van de centrale overheid gaat of als om overheidsinstanties op regionaal niveau. Beide overheidsinstanties vallen onder een sector die Bijlage I als zeer kritiek aanmerkt. Artikel 2 lid 5 aanhef en onder a spreekt over overheidsinstanties op lokaal niveau en koppelt daaraan de bevoegdheid voor lidstaten om het toepassingsbereik van de Richtlijn naar hen toe uit te breiden.

De decentrale overheden vallen (waarschijnlijk) buiten de eerste categorie overheidsinstanties, maar binnen de categorie lokale overheidsinstanties. Formalistisch gezien vallen zij buiten de tabel uit Bijlage I, onder 10, van de NIS2 en betreffen daarmee geen kritieke sector.

Recentelijk heeft de Nederlandse overheid het wetsvoorstel voor de Cyberbeveiligingswet ter internetconsultatie gelegd, waarin zij aangeeft voornemens te zijn om decentrale overheden als overheidsinstantie in de zin van NIS2 aan te merken.

Voorvraag 2: belangrijke of essentiële entiteit?

De NIS2 geeft vervolgens weinig duiding of en zo ja hoe lokale overheidsinstanties als essentieel of belangrijk aangemerkt kunnen, respectievelijk moeten worden. Het onderscheid maakt uit voor het toepasselijke toezicht op de entiteit: belangrijke entiteiten staan onder toezicht achteraf, essentiële entiteiten onder toezicht voor- én achteraf. Systematisch ziet de aanmerking belangrijk/essentieel in artikel 3 lid 1 en 2 NIS2-Richtlijn er gesloten uit. Met andere woorden, als geen van de voorwaarden van lid 1 of 2 opgaan, lijkt op het eerste oog een entiteit noch belangrijk, noch essentieel.

Met het antwoord op voorvraag 1 in het achterhoofd, vallen decentrale overheden duidelijk buiten artikel 3 lid 1 onder a), b), c), en d) van de NIS2. De overige factoren die een instantie essentieel maken, hebben de volgende haken en ogen voor decentrale overheden:

• Onder e): lokale overheidsinstanties vallen in formalistisch perspectief buiten de “in bijlage I of II bedoeld[e] type” overheid.
• Onder f): alleen centrale overheidsinstanties vallen volgens de tabel uit de bijlage (onder 9) onder de CER (Richtlijn 2022/2557).
• Onder g): als de gemeente als aanbieder van essentiële dienst onder de NIS1 (of Wbni) is aangemerkt, zou zij onder de NIS2 kunnen vallen. Hier moet ‘de lidstaat’ apart toe besluiten.

Voor wat betreft artikel 3 lid 2 NIS2 geldt hetzelfde als hierboven onder e) aangemerkt: lokale overheidsinstanties vallen buiten de “in bijlage I of II bedoeld[e] type” overheid. Dit zou hen volgens de logica van de Richtlijn geen belangrijke entiteit maken. Kortom, dit betekent dat een gemeente een besluit moet nemen om als belangrijke of essentiële entiteit onder de NIS2 te vallen. Ongeacht het bovenstaande, heeft de centrale overheid in het internetconsultatiewetsvoorstel voor de Cyberbeveiligingswet (Cbw) decentrale overheden als essentieel aangemerkt.

Mogelijk implementatiegebrek

Om te voldoen aan artikel 46 en 41 van de NIS2 moeten wetgevende instanties van elke lidstaat deze bepalingen uiterlijk 17 oktober 2024 omzetten in nationaal recht. Binnen het Nederlandse staatsbestel is de wetgever in formele zin (de Kroon en Staten-Generaal) hiervoor logischerwijs als eerste aan zet, via artikel 82 e.v. (m.n. 92) Grondwet in lijn met het loyaliteitsbeginsel uit artikel 3 lid 4 van het Verdrag betreffende de Europese Unie en 291 van het Verdrag betreffende de Werking van de Europese Unie (hierna “VWEU”).

Het aantonen van omzetting vindt bijvoorbeeld plaats door een nieuwe wet aan te nemen en deze bij de Commissie aan te geven als omzettingsmaatregel voor de Richtlijn. Als alternatief kan de wetgever voorafgaand aan het verstrijken van de omzettingstermijn aantonen dat eerder ingevoerde en huidig geldende wetgeving de standaard uit de Richtlijn haalt.

Alhoewel het wetgevingstraject voor de omzetting van de NIS2 in de Cbw is gestart, zit het nog in consultatiefase. Tot en met 1 juli 2024 kunnen alle decentrale overheden hun visies en bevindingen op dit consultatievoorstel leveren, voordat de regering het gaat indienen in de Tweede Kamer.

De huidige Wet beveiliging Netwerk en informatiesystemen (Wbni) die diende als omzetting voor Richtlijn 2016/1148 (“NIS1”, de voorloper van NIS2), lijkt bovendien geen volwaardige implementatie te zijn van de NIS2. Overheidsinstanties kunnen op zich onder de Wbni vallen, voor zover zij aan te merken zijn als vitale aanbieders, of aanbieders van essentiële diensten. Echter, de NIS2 geeft kortgezegd meer en andere normen dan de NIS1, zoals op te maken valt uit de concordantietabel in Bijlage III bij de NIS2. Gezien de aanwijzingen dat het Rijk de implementatietermijn niet gaat halen, zit Nederland op centraal wetgevingsniveau dus na 17 oktober 2024 met een implementatiegebrek.

Implementatiegebrek helen = doorwerking EU-recht vinden.

Omdat de NIS2 het begrip “lidstaten” hanteert zonder dit nader te definiëren ligt er actieruimte voor decentrale overheden. Zij zijn immers medeoverheid en daarmee lidstaat van de Europese Unie. Voor de invulling van ruimte bij richtlijnen in algemene zin gaf het Hof van Justitie namelijk richting in de zaak Sabine von Colson en Elisabeth Kamann:

Als we deze leer toepassen op de NIS2, volgt hieruit dat gemeentes binnen hun wettelijke bevoegdheid in beginsel actie moeten ondernemen om het resultaat van de NIS2 te garanderen. Hierna behandelen wij de vraag in hoeverre de NIS2 dit toelaat.

Resultaat NIS2: keuze tot verplichte naleving

Met Von Colson & Kamann in het achterhoofd, heeft artikel 2 lid 5 van de NIS2 na 17 oktober 2024 de legitieme betekenis dat de bevoegdheid om een gemeente aan te wijzen als lokale overheidsinstantie onder de Richtlijn over gaat op die gemeente, voor zover overig bestuursrecht die gemeente daartoe ook ruimte geeft. Omdat de wet voornamelijk specifieke verplichtingen toewijst aan belangrijke en/of essentiële entiteiten, zou die overheid in dat kader ook de overweging moeten maken. Al lijkt het systeem van de NIS2 in dat opzicht gesloten, betekent het alsnog dat artikel 2 lid 5 van de NIS2 gemeentes dit zelf laat bepalen.

Deze interpretatie kan tot gevolg in Nederland hebben dat decentrale overheden bij het implementatiegebrek autonoom bepalen of ze zich binden aan de Richtlijn via eigen bestuursrechtelijke handelingen. Dit kan een lappendeken in Nederland tot stand brengen van al dan niet NIS2 toepasselijkheidsverklaringen. Des te belangrijker een gemeente namelijk cyberveiligheid aanmerkt, des te eerder deze de plicht van de Richtlijn naar zich toe zal trekken. Om dit te ondervangen heeft het Rijk het voortouw genomen en de decentrale overheden tot essentiële overheidsinstantie onder NIS2 verklaard. 

Rechtstreekse werking bij Richtlijnen na implementatiegebreken

Als een gemeente binnen de wettelijke bevoegdheid zich de opgave uit de Richtlijn als plicht toe-eigent, heeft dat gevolgen voor particulieren via het mechanisme van rechtstreekse werking, namelijk de inroepbaarheid van artikel 21 en 23 van de NIS2. Rechtstreekse werking betekent inroepbaarheid van Europeesrechtelijke normen door particulieren. Hierbij staat de bescherming van de rechtspositie van particulieren centraal. Het Hof van Justitie van de Europese Unie legde de basis voor deze doctrine in de jaren ’60 op grond van het loyaliteitsbeginsel (artikel 3 lid 4 van het VWEU) in de uitspraak Van Gend en Loos.

De voorwaarden voor rechtstreekse werking van Europese normen zijn voldoende duidelijkheid en onvoorwaardelijkheid. Hiervoor moeten we bekijken of de Europeesrechtelijke norm:

• geen moeilijke interpretatiekwesties oplevert (voldoende duidelijkheid), en
• geen ruimte laat die eerst met nader regelgevende of uitvoerende acties moet worden ingevuld (onvoorwaardelijkheid). Zou dat laatste namelijk volledig het geval zijn, dan zal elke particulier geduld moeten hebben totdat die specifieke acties eerst hebben plaatsgehad.

Normen die rechten inhouden voor individuen, die lidstaten geïmplementeerd zouden moeten hebben in het nationale recht, zijn meteen voldoende duidelijk en onvoorwaardelijk, dus inroepbaar jegens de overheid. Als een particulier dus tegenover de lidstaat rechten kan ontlenen aan een Richtlijnbepaling, voor zover de nationale wet deze niet garandeert, mag de particulier die in relatie tot de overheid inroepen. Door beroep op Richtlijnrechten te doen houdt de particulier de lidstaat gefocust om haar Europese doelstellingen te bereiken.

Do & Don’ts bij doorwerking Richtlijnen.

Artikel 288 VWEU geeft kenmerken van Richtlijnen. Elke Richtlijn bevat een resultaatsverbintenis die geldt voor lidstaten, met ruimte over de manier waarop zij dat resultaat moeten bereiken. Hieruit volgt dat een Richtlijn bij implementatiegebreken alleen plichten voor lidstaten genereert, nóóit voor particulieren. Hierbij één do en twee don’ts in die gevallen:  

• Do: particulieren mogen voldoende duidelijke en onvoorwaardelijke richtlijnbepalingen inroepen tegenover de lidstaat.
• Don’t 1: een particulier mag zich tegenover andere particulieren op géén enkele Richtlijnbepaling beroepen. Dit heet het verbod op horizontale rechtstreekse werking bij richtlijnbepalingen.
• Don’t 2: een overheid mag een particulier nergens toe verplichten op grond van een Richtlijn. Richtlijnen zijn immers niet van toepassing op particulieren. Dit noemt men het verbod op omgekeerd verticale rechtstreekse werking. Zie voor een belangrijk toevoeging hierop de uitspraak van het Hof van Justitie Sozialhilfeverband Rohrbach v Arbeiterkammer Oberösterreich, waarbij het Hof in rechtsoverweging 34 specificeerde dat het voor de toepassing van het verbod op omgekeerd verticale rechtstreekse werking “niet van belang [is] of de betrokken instantie al dan niet zelf verantwoordelijk is voor de niet-omzetting van de betrokken richtlijn”.

Kanttekeningen

Deze uitleg geldt alléén voor wat betreft implementatiegebreken van Richtlijnen. Verordeningen zijn andere Europese wetten, waar geen plicht tot omzetten geldt. Verordeningen zijn zogezegd rechtstreeks toepasselijk en kunnen verplichtingen inhouden voor particulieren, zodra ze in werking treden.

Ook al kan en mag de gemeente de toepasselijkheid van de NIS2 op haar organisatie naar zich toe trekken en zich tot een belangrijke of essentiële entiteit verklaren onder de NIS2, het is enigszins een discussiepunt of vanwege de voorwaardelijkheid van artikel 2 lid 5 NIS2 rechtstreekse werking voor particulieren toekomt aan inhoudelijke NIS2 bepalingen.

Als de gemeente artikel 2 lid 5 van de NIS2 namelijk invult, zouden inhoudelijke NIS2 bepalingen rechten kunnen geven aan particulieren jegens de gemeente als (onderdeel van de) lidstaat, dus rechtstreekse werking kunnen krijgen.

Als de conclusie echter is dat particulieren ongeacht de handelswijze van gemeenten aanlopen tegen de voorwaardelijkheid in artikel 2 lid 5 NIS2 zouden zij met name aangaande artikel 21 NIS2 met lege handen dreigen te staan. Vertrouwend op dat eerste, gaan we na in welke mate op particulieren artikel 21 en 23 NIS2 toepasbaar kunnen zijn.

Analyse rechtstreekse werking artikel 21 NIS2

Lid 1 verplicht tot het treffen van passende en evenredige risicobeheersmaatregelen en geeft hier aanwijzingen voor. Lid 2 vult in wat dat voor maatregelen zullen betreffen. Al deze maatregelen lenen zich voor interpretatie en toepassing door een gemeente. Voor subs a, f, en h zou rechtstreekse werking voor particulieren mogelijk ontbreken, omdat toepasselijkheid afhangt van de invulling die de decentrale of eventueel centrale overheid aan het begrip “beleid” geeft. Een particulier kan moeilijk een recht op beleid hebben. De overige bepalingen zou een particulier jegens de overheid kunnen inroepen, bijvoorbeeld wanneer beveiligingsincidenten zich voordoen en de particulier daar schade van ondervindt.

Lid 3 geeft een nadere inkleding van de evenredigheidsafweging die moet plaatsvinden. Lid 4 is een toezichtsverplichting voor lidstaten. Een particulier zou hier een recht op passende en evenredige corrigerende maatregelen toe kunnen komen, wanneer een gemeente deze nalaat te nemen bij gebrek onder lid 2. Lid 5 heeft geen rechtstreekse werking, omdat geen rechten aan individuen toekomen op een uitvoeringshandeling; dit is voorbehouden aan de Europese Commissie, naleving ervan vindt plaats via de andere EU-instellingen.

Analyse rechtstreekse werking artikel 23 NIS2

• Tekst van artikel 23 NIS2-Richtlijn – Rapportageverplichtingen
  1.  Elke lidstaat zorgt ervoor dat essentiële en belangrijke entiteiten elk incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten als bedoeld in lid 3 (significant incident) meldt bij zijn CSIRT of, indien van toepassing, zijn bevoegde autoriteit overeenkomstig lid 4. In voorkomend geval stellen de betrokken entiteiten de ontvangers van hun diensten onverwijld in kennis van significante incidenten die een nadelige invloed kunnen hebben op de verlening van die diensten. Elke lidstaat zorgt ervoor dat die entiteiten onder meer alle informatie rapporteren die het CSIRT of, indien van toepassing, de bevoegde autoriteit in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen. Melding leidt niet tot blootstelling van de entiteit aan een verhoogde aansprakelijkheid.
     Wanneer de betrokken entiteiten een significant incident overeenkomstig de eerste alinea melden bij de bevoegde autoriteit, zorgt de lidstaat ervoor dat die bevoegde autoriteit de melding na ontvangst doorstuurt naar het CSIRT.
     In het geval van een grensoverschrijdend of sectoroverschrijdend significant incident zorgen de lidstaten ervoor dat relevante informatie die overeenkomstig lid 4 is gemeld, tijdig aan hun centrale contactpunten wordt verstrekt.
  2. Indien van toepassing zorgen de lidstaten ervoor dat essentiële en belangrijke entiteiten de ontvangers van hun diensten die mogelijkerwijs door een significante cyberdreiging worden getroffen, onverwijld meedelen welke maatregelen die ontvangers kunnen nemen in reactie op die dreiging. Indien nodig stellen de entiteiten die ontvangers ook in kennis van de significante cyberdreiging zelf.
  3. Een incident wordt als significant beschouwd als het:
     a) een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken;
     b) andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
  4. De lidstaten zorgen ervoor dat de betrokken entiteiten, voor de in lid 1 bedoelde melding, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit:
     a) onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing geven, waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk door een onrechtmatige of kwaadwillige handeling is veroorzaakt, dan wel grensoverschrijdende gevolgen zou kunnen hebben;
     b) onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding indienen met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;
     c) op verzoek van het CSIRT of, indien van toepassing, de bevoegde autoriteit, een tussentijds verslag indienen over relevante updates van de situatie;
     d) uiterlijk één maand na de indiening van het in punt b) bedoelde incidentmelding, een eindverslag indienen waarin het volgende is opgenomen:
     i) een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan;
     ii) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
     iii) toegepaste en lopende risicobeperkende maatregelen;
     iv) in voorkomend geval, de grensoverschrijdende gevolgen van het incident;
     e) indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, zorgen de lidstaten ervoor dat de betrokken entiteiten op dat moment een voortgangsverslag indienen en binnen één maand nadat zij het incident hebben afgehandeld, een eindverslag indienen.
     In afwijking van de eerste alinea, punt b), meldt een verlener van vertrouwensdiensten significante incidenten die gevolgen hebben voor de verlening van zijn vertrouwensdiensten onverwijld, en in elk geval binnen 24 uur nadat hij kennis heeft gekregen van het significante incident, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit.
  5. Het CSIRT of de bevoegde autoriteit verstrekt onverwijld en zo mogelijk binnen 24 uur na ontvangst van de in lid 4, punt a) bedoelde vroegtijdige waarschuwing een antwoord aan de meldende entiteit, met inbegrip van een eerste feedback over het significante incident en, op verzoek van de entiteit, richtsnoeren of operationeel advies voor de uitvoering van mogelijke risicobeperkende maatregelen. Wanneer het CSIRT de in de lid 1 bedoelde melding niet als eerste heeft ontvangen, worden de richtsnoeren door de bevoegde autoriteit in samenwerking met het CSIRT verstrekt. Het CSIRT verleent aanvullende technische ondersteuning indien de betrokken entiteit daarom verzoekt. Wanneer wordt vermoed dat het significante incident van criminele aard is, geeft het CSIRT of de bevoegde autoriteit ook richtsnoeren voor het melden van het significante incident aan de rechtshandhavingsinstanties.
  6. In voorkomend geval, en met name wanneer het significante incident betrekking heeft op twee of meer lidstaten, stelt het CSIRT, de bevoegde autoriteit of het centrale contactpunt de andere getroffen lidstaten en ENISA onverwijld in kennis van het significante incident. Die informatie omvat het soort informatie dat overeenkomstig lid 4 is ontvangen. Daarbij beschermen het CSIRT, de bevoegde autoriteit of het centrale contactpunt, overeenkomstig het Unie of het nationale recht, de beveiligings- en commerciële belangen van de entiteit, alsmede de vertrouwelijkheid van de verstrekte informatie.
  7. Wanneer publieke bewustmaking nodig is om een significant incident te voorkomen of een lopend incident aan te pakken, of wanneer de bekendmaking van het significante incident anderszins in het algemeen belang is, kunnen het CSIRT van een lidstaat of, indien van toepassing, zijn bevoegde autoriteit, en in voorkomend geval de CSIRT’s of de bevoegde autoriteiten van andere betrokken lidstaten, na raadpleging van de betrokken entiteit, het publiek over het significante incident informeren of van de entiteit verlangen dat zij dit doet.
  8. Op verzoek van het CSIRT of de bevoegde autoriteit stuurt het centrale contactpunt de op grond van lid 1 ontvangen meldingen door naar de centrale contactpunten van de andere betrokken lidstaten.
  9. Het centrale contactpunt dient om de drie maanden bij ENISA een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen en bijna-incidenten die overeenkomstig lid 1 van dit artikel en overeenkomstig artikel 30 zijn gemeld. Om bij te dragen tot het verstrekken van vergelijkbare informatie kan ENISA technische richtsnoeren vaststellen over de parameters van de informatie die in het samenvattend verslag moet worden opgenomen. ENISA stelt de samenwerkingsgroep en het CSIRT-netwerk om de zes maanden in kennis van zijn bevindingen over de ontvangen meldingen.
  10. De CSIRT’s of, indien van toepassing, de bevoegde autoriteiten verstrekken de uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten informatie over significante incidenten, en cyberdreigingen en bijna-incidenten die overeenkomstig lid 1 van dit artikel en overeenkomstig artikel 30 zijn gemeld door entiteiten die uit hoofde van Richtlijn (EU) 2022/2557 zijn aangemerkt als kritieke entiteiten.
  11. De Commissie kan uitvoeringshandelingen vaststellen waarin het soort informatie, het format en de procedure van een op grond van lid 1 van dit artikel en op grond van artikel 30 ingediende melding en van een op grond van lid 2 van dit artikel gedane mededeling nader worden gespecificeerd.
      Uiterlijk op 17 oktober 2024 stelt de Commissie met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsook aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, uitvoeringshandelingen vast waarin nader wordt gespecificeerd in welke gevallen een incident als significant wordt beschouwd als bedoeld in lid 3. De Commissie kan dergelijke uitvoeringshandelingen vaststellen met betrekking tot andere essentiële en belangrijke entiteiten.
      De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep rond de in de eerste en tweede alinea van dit artikel bedoelde ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, punt e).
      Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.

Lid 1 is helder over voor welke incidenten een entiteit actie moet ondernemen. In leden 4 tot en met 8 staat uitgelegd welke procedure de entiteiten en het CSIRT moeten volgen op een incident, een eerste melding en reacties erop. Omdat in lid 1 specifiek staat dat de melding niet leidt tot blootstelling van de entiteit aan verhoogde aansprakelijkheid, is de vraag in hoeverre deze bepaling op een individu betrekking zou kunnen hebben. Alsnog staat het individuen vrij om hun lidstaat hier zoveel mogelijk toe te bewegen. Lid 2 gaat over de verplicht te vermelden maatregelen aan de ontvangers van diensten die door een cyberaanval of -dreiging worden getroffen. Hieraan kunnen particulieren een recht ontlenen. Lid 3 legt uit wat significantie van de incidenten in de zin van lid 1 en 2, wat de plicht verheldert.

Leden 9 en 10 bevatten heldere verplichtingen voor het centrale contactpunt, respectievelijk CSIRTs, maar ook hierbij is de vraag wat de betrekking gaat zijn voor een individu, wanneer niet gerapporteerd is. Het individuele belang is hier minder mee gediend. Lid 11 heeft geen rechtstreekse werking, omdat geen rechten aan individuen toekomen op een uitvoeringshandeling; dit is een prerogatief van de Europese Commissie, naleving ervan vindt plaats via de EU-instellingen.

Richtlijnconform interpreteren en regelgeven.

Een andere optie is om na 17 oktober 2024 de Wbni conform de NIS2 Richtlijn te interpreteren. Onder bijvoorbeeld de term “vitale aanbieder” uit artikel 1 Wbni kan de gemeente overheidsinstanties verstaan die als belangrijk of essentieel aan te merken zijn volgens de maatstaven van de NIS2. De evenredige technische en organisatorische maatregelen om risico’s te beheersen uit artikel 7 en 8 Wbni kunnen decentrale overheden conform artikel 21 NIS2 interpreteren; dit geldt vergelijkbaar voor de meldplicht uit artikel 10 tot en met 14 Wbni in het kader van artikel 23 NIS2. Overweging 17 uit de preambule bij de NIS2 geeft hier ook richting om aanbieders van essentiële diensten als essentiële entiteiten onder de NIS2 aan te merken.

De Nederlandse overheid zelf geeft het advies aan organisaties om de inhoudelijke verplichtingen vooral na te leven omwille van de cyberveiligheid, vooruitlopend op een nieuwe wet. Zie bijvoorbeeld de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Hiertoe mag de overheid (gezien het bovenstaande) private organisaties uiteraard niet dwingen, noch bij gebreke aan naleving van de NIS2 verplichtingen hierop handhaven. Voor gemeenten en overige decentrale overheden geldt die naleefaanmoediging des te sterker uiteraard.

Conclusie

Uit de analyses van artikel 21 en 23 van de NIS2 valt te concluderen dat decentrale overheden na 17 oktober 2024 deze artikelen kunnen en mogen naleven. Verder trekken wij de conclusie dat die artikelen hoogstens tot garanderen van rechten voor particulieren leiden, niet tot het opleggen van plichten aan hen. Artikel 21 lid 1 samen met lid 2 sub b, c, d, e, g, i en j NIS2 kan bovendien rechtstreeks werken op particulieren, wat betekent dat zij zich hierop jegens de gemeente zouden kunnen beroepen.

Ook al weet de Nederlandse overheid mogelijk geen omzetting te bereiken binnen de verplichte termijn, kunnen en mogen gemeentes hoe dan ook beginnen met het treffen van risicobeheersmaatregelen voor cyberdreigingen en het rapporteren van dreigingen of inbreuken aan de landelijke CSIRT. Gezien Von Colson & Kamann zouden wij zelfs zeggen dat de gemeentes en andere decentrale overheden hiertoe verplicht zijn.

Constateert de gemeente dat zij (bijvoorbeeld wettelijk gezien) geheel afhankelijk is van de acties die de centrale overheid neemt en dus zelf weinig tot niets kan of mag ondernemen, dan blijft de bal hiervoor bij de centrale overheid liggen. Hiervoor adviseren wij om duidelijk overleg te voeren met het ministerie van Justitie en Veiligheid (JenV). Vervolgens, over de specifieke invulling van nadere regels, achten wij het voor elke decentrale overheid verstandig om binnen de koepels (VNG, UvW, dan wel IPO) contact te houden.

Meer informatie

Tijdlijn digitalisering, Kenniscentrum Europa Decentraal

Cyberveiligheid, onderwerppagina Kenniscentrum Europa Decentraal.

Uitleg over NIS2, Rijksoverheid op Digitale Overheid.

NIS2 Zelfevaluatie vragenlijst door Rijksdienst voor Ondernemend Nederland.

Waar de NIS2-Richtlijn als belangrijke of essentiële entiteit aangemerkte organisaties verplicht tot het nemen van cyberveiligheidsverhogende maatregelen om risico’s op incidenten te beperken, treft de CER verdergaande maatregelen voor een beperkter aantal zogeheten “kritieke entiteiten”.

NIS2 en cyberweerbare vitale dienstverlening

De NIS2-Richtlijn breidt zowel het toepassingsbereik uit als het aantal en type verplichtingen ten opzichte van voorloper Richtlijn 2016/1148 (NIS1). Met de NIS1-Richtlijn zette de EU de eerste stap naar geharmoniseerde normen voor verhoogde weerbaarheid van vitale infrastructuur en dienstverlening in de lidstaten.

De NIS1 Richtlijn verplichtte lidstaten om aanbieders van diensten via netwerk en informatiesystemen die cruciaal zijn voor instandhouding van kritieke maatschappelijke en/of economische activiteiten te motiveren tot het nemen van cyberveiligheidsrisicobeheersmaatregelen. In 2018 implementeerde Nederland deze Richtlijn in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De nu voorgestelde Cbw zal de Wbni vervangen.

Voorstel: decentrale overheid wordt essentiële entiteit.

De NIS2-Richtlijn heeft in vergelijking met de NIS1-Richtlijn een breder toepassingsbereik gekregen, waaronder overheidsinstanties. De NIS2-Richtlijn laat daarbij de keus aan lidstaten om lokale overheidsinstanties onder de NIS2 te voegen. Het consultatiewetsvoorstel voor de Cyberbeveiligingswet verduidelijkt dat het de wens van het kabinet is om alle decentrale overheden (gemeenten, waterschappen en provincies) als overheidsinstantie en essentiële entiteiten aan te merken onder de NIS2-Richtlijn. Gemeenschappelijke regelingen dienen alsnog onder Bijlage I of II te vallen, en daarnaast als overheidsinstantie te kwalificeren onder artikel 6 punt 35 van de NIS2-Richtlijn.

“Zorg, meld en registreer”

In essentie komt het wetsvoorstel voor de Cbw die de NIS2-Richtlijn zal implementeren neer op vier verplichtingen, inhoudelijk samen te vatten als “zorg, meld en registreer”:

• Zorg voor passende en evenredige technische, operationele en organisatorische maatregelen om risico’s te verminderen op incidenten met netwerk- en informatiesystemen die de decentrale overheid inzet. Hiertoe kan de overheid aansluiten bij bestaande certificeringsregelingen of gecertificeerde entiteiten inzetten.
• Meld en registreer bij het computerbeveiligingsincidentreactieteam (computer security incident response teams of “CSIRT”) elk incident dat de dienstverlening ernstig operationeel kan verstoren en aanzienlijke (im)materiële schade kan veroorzaken. Dit moet op de volgende manieren:
  • Binnen 24 uur waarschuwen of het incident vermoedelijk onrechtmatig veroorzaakt is en/of grensoverschrijdende gevolgen zou kunnen hebben. Binnen 72 uur meer informatie melden, zoals ernst en gevolgen van het incident en schade-indicatoren.
  • Maximaal één maand na het vorige punt rapporteren met details van oorzaak en gevolg en de ernst ervan, toegepaste maatregelen en eventueel grensoverschrijdende gevolgen.

CER en Wwke

De CER-Richtlijn geeft regels voor lidstaten voor het verhogen van de weerbaarheid van kritieke entiteiten. Hier valt een verplichting onder tot het beperken van alle relevante risico’s (all hazard benadering). Deze risico’s kunnen dus ook een andere oorsprong dan menselijk gedrag hebben. De CER-Richtlijn omvat elf sectoren en geeft een minimum beschermingsniveau. Alle als kritiek aangewezen entiteiten onder de CER-Richtlijn zijn direct ook essentiële entiteiten onder de NIS2-Richtlijn.

De Wwke zal de CER-Richtlijn implementeren in de Nederlandse rechtsorde. De memorie van toelichting bij het ter consultatie voorliggende wetsvoorstel geeft aan dat decentrale overheden buiten de sector overheid vallen uit de Bijlage en als zodanig geen (publieke) kritieke entiteit zijn. Echter, zij kunnen alsnog binnen één van de andere tien sectoren vallen, anders dan de sector overheid.

Inwerkingtreding, omzetting, toepassing

Beide Richtlijnen traden op 17 januari 2023 in werking. Lidstaten hebben tot uiterlijk 17 oktober 2024 om deze om te zetten en moeten de bepalingen ter omzetting van de Richtlijnen vanaf 18 oktober 2024 toepassen. Nederland heeft aangegeven deze termijn niet te kunnen halen en spoort zoveel mogelijk alle organisaties op om zelfstandig te voldoen aan de NIS2.

Raadplegingstermijn

U kunt tot en met 1 juli 2024 reageren op de internetconsultaties van de voorstellen voor de Cbw en de Wwke.

Meer informatie

Consultatie Cbw, Overheid.nl
Consultatie Wwke, Overheid.nl
Congres Let’s Get Digital 3.0: van cyber-incident naar cyber-resistent, 18 juni a.s., Utrecht.
Cyberveiligheid, onderwerppagina Kenniscentrum Europa Decentraal.
NIS2 Richtlijn, via Tijdlijn Digitalisering, Kenniscentrum Europa Decentraal .

Op 29 april 2024 hebben de Raad en het Europees Parlement een definitief besluit genomen over het gewijzigde Commissievoorstel over de Gigabitinfrastructuurverordening van februari 2023. De uitrol van hogecapaciteitsnetwerken laat nog tot eind 2025 op zich wachten, wanneer exploitanten en overheidsinstanties de Verordening daadwerkelijk mogen toepassen.

Kern Gigabitinfrastructuurverordening

De Gigabitinfrastructuurverordening (zie hier voor de nog ongepubliceerde versie van 24 april jl) streeft verschillende doelen na. Het verlagen van de kosten en het versnellen van de implementatie van gigabitnetwerken zijn topprioriteiten. Daarnaast is ook het verminderen van de ecologische impact van elektronische communicatienetwerken een belangrijk doel, door het stimuleren van milieuvriendelijkere technologieën, zoals glasvezel of draadloze 5G-technologie.

Deze netwerken – de Verordening duidt ze aan als “netwerken met zeer hoge capaciteit” – stellen aangesloten partijen in staat om in korte tijd veel gegevens uit te wisselen. Exploitanten van de netwerken moeten toegang toestaan tegen redelijke voorwaarden, specifieke uitzonderingsgronden daargelaten. De overige partijen hoeven pas eind 2025 de verplichtingen uit de Verordening na te leven. Vanaf dan is het grootste deel van de Verordening van kracht.

Voor specifieke informatievoorzieningsverplichtingen, zoals centrale informatiepunten, geldt een toepassingsdatum die nog zes maanden later ligt , dus waarschijnlijk in juni 2026. Zulke informatiepunten moeten ook vindbaar zijn via de Single Digital Gateway of “één digitale toegangspoort”, ingesteld bij de SDG-verordening (Vo. 2018/1724). Zie hiervoor overweging 61 uit de preambule van de Gigabitinfrastructuurverordening.

Decentrale relevantie

Zoals wij in ons eerdere bericht van 19 februari aangaven, is deze Verordening ook voor decentrale overheden relevant, omdat het mogelijk ingrijpt op de vergunningenprocedures die zij hanteren. De Verordening voorziet namelijk in een verplicht bemiddelingsmechanisme. Hiervoor stelt de Europese Commissie randvoorwaarden op samen met het agentschap Body for European Regulators for Electronic Communications (BEREC). Relevante overwegingen uit de preambule van de Verordening zijn 26, 27, 46, 58, en 63 t/m 68, en artikel 3 lid 13, 5 lid 6, 11 lid 6 van de Verordening; deze artikelen zijn direct van kracht vanaf de inwerkingtredingsdatum.

Overigens, in tegenstelling tot ons eerdergenoemde bericht (en dat van de Raad), bevat de uiteindelijke versie van de Verordening géén expliciete bevoegdheid meer voor lidstaten om de overgangsperiodes voor gemeenten met minder dan 3.500 inwoners met maximaal twaalf maanden te verlengen. De wetgevende instellingen hebben hier, vlak voor de deadline, dus geen overeenstemming over bereikt.

Bron

Verordening Gigabit Infrastructuur, Raad van de Europese Unie.

Meer informatie

Tijdlijn Digitalisering, één van onze digi-diensten.

Digitale overheid, onderwerppagina.

Europees aanbestedingsrecht gaat vóór op het Nederlands in te bedden uitdaagrecht in de Wet versterking participatie op decentraal niveau. Bij uitoefeningen van het uitdaagrecht moeten aanbestedende diensten het aanbestedingsrecht in acht blijven nemen. In de Memorie van Toelichting bij het Wetsvoorstel Wet versterking participatie op decentraal niveau geeft de wetgever aan dat de decentrale overheid een specifieke belangenafweging moet maken bij confrontaties met uitgeoefende uitdaagrechten. Hierbij staat het algemeen mededingingsbelang voorop.

Uitdaagrecht

Het uitdaagrecht geeft inwoners van gemeenten, provincies en waterschappen de mogelijkheid om hun decentrale overheid uit te dagen in specifieke behoeftes te voorzien, van het opzetten en beheren van een buurthuis, tot het schoonhouden van een straat of onkruid wieden in een lokaal park. Met het uitdaagrecht kunnen inwoners op eigen initiatief invulling geven aan publieke taken die de wet in beginsel aan de overheid voorbehoudt. De inwoner daagt hiermee de overheid uit om ofwel zelfstandig te voorzien in de vraag waar de uitdaging betrekking op heeft, of het anders aan de inwoners over te laten. Het kabinet heeft dit recht verwerkt in het Wetsvoorstel voor de Wet versterking participatie op decentraal niveau. Dat recht zal terechtkomen in de Gemeentewet, Provinciewet en de Waterschapswet. Op 26 oktober 2023 heeft de Tweede Kamer met 132 stemmen voor dit wetsvoorstel met amendement aangenomen. Nu is het wachten op de Eerste Kamer.

Memorie van Toelichting

In de Memorie van Toelichting (pagina 21 en verder) bij dat wetsvoorstel geeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan dat uitdagingen kunnen gaan kruisen met verplichtingen van decentrale overheden op allerlei publieke beleidsterreinen. Als oplossing hiervoor vertaalt het Ministerie de uitoefening van het uitdaagrecht naar een belang van de inwoner dat de overheid moet afwegen tegen de belangen achter de wettelijke taken, zoals openbare veiligheid, bescherming van de publieke financiën of het waarborgen van eerlijke concurrentieverhoudingen. In zekere zin dagen inwoners de overheid dan uit tot het verstrekken van een afgewogen besluit over de mogelijkheid voor de burger of het burgercollectief om die taak uit te oefenen.

Aanbestedingsrechtelijke plicht

Over de kruising met het Europese aanbestedingsrecht geeft de Memorie van Toelichting bij het wetsvoorstel duidelijkheid. Als een decentrale overheid namelijk gelegenheid ziet voor betrokkenheid van inwoners bij de uitvoering van een uitdaging, zal die gemeente eerst moeten nagaan of het om een opdracht gaat en of die opdracht aanbestedingsplichtig is. Dit is het geval wanneer de waarde van de opdracht voor werken, leveringen of diensten de aanbestedingsdrempels overschrijdt en de opdracht buiten de lijst met uitgesloten opdrachten valt. Het Ministerie erkent dat dit een struikelblok kan vormen voor initiatiefnemers van de uitdaging, maar stelt dat het publieke belang van eerlijke concurrentie hier de doorslag moet geven. Kortom, bij bovendrempelige opdrachten die uit uitdagingen op basis van het wettelijke uitdaagrecht voortkomen moeten decentrale overheden de wettelijk voorgeschreven aanbestedingsprocedures volgen, wat kan leiden tot de mogelijkheid dat de betrokken burgers hun initiatief niet of niet geheel kunnen uitvoeren omdat de opdracht tot uitvoering van de taak bij de partij kan komen te liggen die de aanbesteding wint. Een tweedeling behoort ook tot de mogelijkheden. Zo kan het realiseren van een gebouw aanbestedingsplichtig zijn, maar het organiseren van activiteiten in dat gebouw kan op basis van het uitdaagrecht door een burgercollectief in dat gebouw worden gerealiseerd.

Wijzigingen decentrale wetten

Onder andere om die reden geeft het wetsvoorstel aan om in de Gemeentewet, de Provinciewet en de Waterschapswet de gemeenteraad, provinciale staten, respectievelijk het algemeen bestuur de bevoegdheid te geven om in een participatieverordening te regelen hoe ingezetenen of andere maatschappelijke partijen initiatieven kunnen nemen en uitvoeren (zie Artikel I onderdeel A, derde subonderdeel van het wetsvoorstel). Hierdoor krijgt de decentrale regelgever de mogelijkheid om al af te wegen in welke situaties het uitdaagrecht succes kan hebben.

Algemene aanbestedingsrichtlijn

De striktheid van de wetgever komt grotendeels omdat artikel 10 van Richtlijn 2014/24 alleen een beperkt aantal specifieke opdrachten uitsluit van het aanbestedingsrecht. Het Europees aanbestedingsrecht is een gesloten systeem; overheidsopdrachten voor werken, leveringen of diensten die voortkomen uit het uitdaagrecht vallen buiten de lijst met uitzonderingen. Op grond van artikel 288 VWEU en artikel 90 lid 1 van Richtlijn 2014/24 moet de Nederlandse overheid dit systeem implementeren en zouden afwijkende nationaalrechtelijke normen inbreuk maken op het loyaliteitsbeginsel uit artikel 4 lid 3 van het Verdrag betreffende de Europese Unie. Afwijking op basis van het uitdaagrecht is dan ook niet toegestaan.

Eerste pijler: 3C-netwerk

Met de eerste reeks scenario’s wil de Commissie invulling geven aan een ‘Connected Collaborative Computing’ netwerk: een Europees ecosysteem dat halfgeleiders en rekencapaciteit voor edge-, cloud- en radiotechnologie verenigt met connectiviteitsinfrastructuur, databeheer, en apps. Hiertoe suggereert de EU-instelling onder andere:

• grootschalige pilots om geïntegreerde infrastructuren voor cloud en edge telecomplatforms met innovatieve technologieën te realiseren;
• een nieuw, op digitale infrastructuur toegespitst, project (zoals dit door de Commissie goedgekeurde project onder de staatssteunregels) of andere gecoördineerde kaders om zowel Europese als nationale, publieke en private financiering aan te trekken.

Tweede pijler: digitale eengemaakte markt

De tweede pijler bevat scenario’s voor de voltooiing van de digitale eengemaakte markt. Hier schetst de Commissie onder andere de volgende scenario’s:

• het huidige regelgevingskader uitbreiden of hervormen, om zoveel mogelijk eindgebruikers van digitale diensten gebruik te kunnen laten maken;
• maatregels stellen voor het uitfaseren van koperkabel tot uiterlijk 2030 en voor het omschakelen naar glasvezel vanaf 2028;
• Procedures harmoniseren om beheer en toestemming van radiofrequenties te integreren op EU-niveau en het integreren van het “country of origin” principe;
• Vergroening ondersteunen door sneller van koper naar glasvezelinfrastructuur over te stappen.

Derde pijler: weerbare infrastructuur.

De derde set aan scenario’s richt zich op het verhogen van de veiligheid en weerbaarheid van infrastructuren. Hiertoe suggereert de Commissie onder andere het volgende:

• versterking van onderzoek en innovatie gericht op nieuwe glasvezel- en kabeltechnologieën;
• een lijst met kabelprojecten van Europees belang onder het Connecting Europe Facility fonds of andere activiteiten en beschikbare instrumenten onder het InvestEU fonds;
• een gezamenlijk EU-beheerssysteem voor kabelinfrastructuur op de bodem van de zee;
• het harmoniseren van veiligheidsvoorwaarden op internationale fora, mogelijk te bereiken door middel van gerichte EU-certificeringsschema’s.

De Europese Commissie nodigt iedereen binnen overheden, het maatschappelijk middenveld, industrie en academie om voor 1 juli 2024 via het Have Your Say portaal feedback op dit Witboek te leveren.

Bron

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14168-How-to-master-Europes-digital-infrastructure-needs%3F_nl

Wat is interoperabiliteit?

Het bereiken van grensoverschrijdende interoperabiliteit is één van de doelstellingen binnen de Digital Decade. Organisaties en systemen zijn interoperabel als ze zonder beperkingen kunnen samenwerken en naadloos op elkaar aansluiten. De EU richt zich nu op digitale interoperabiliteit tussen overheden. Hierbij draait het om het vermogen van overheidsdiensten om samen te werken en om op elektronische wijze informatie uit te wisselen.

In 2017 creëerde de Europese Commissie het Europees Interoperabiliteitskader (EIF). Het kader biedt de Europese overheidsdiensten concrete richtlijnen en aanbevelingen voor het opzetten van goed werkende interoperabele digitale overheidsdiensten. De laatste jaren is er echter gebleken dat dit vrijwillige interoperabiliteitskader onvoldoende resultaat opleverde en daarom is de nieuwe Verordening Interoperabel Europa in het leven geroepen. Hiermee is de plicht tot samenwerking vastgelegd en is de deelname van lidstaten niet meer vrijwillig.

Doel van de Verordening Interoperabel Europa

Het belangrijkste doel van de Verordening is het tot stand brengen van een nieuw samenwerkingskader voor overheidsinstanties in de EU zodat er een naadloze grensoverschrijdende verlening van overheidsdiensten kan plaatsvinden. Het opzetten van een onderling verbonden netwerk tussen alle digitale overheidsdiensten moet na verwezenlijking zorgen voor betere publieke dienstverlening en digitale samenwerking.

Decentrale relevantie

Zonder effectieve samenwerking op alle overheidsniveaus komt interoperabiliteit niet van de grond. Hier ligt dus ook een verantwoordelijkheid voor alle decentrale overheden. De Verordening Interoperabel Europa zal lokale bestuurders voorzien van definities, principes, aanbevelingen en praktische gebruiksscenario’s. Hierdoor kunnen overheden onderling oplossingen delen en informatie hergebruiken, zodat ze het wiel niet opnieuw hoeven uit te vinden. Dit kan kostenverlagend werken voor decentrale overheden.

Bronnen

Persmededeling, Raad van de Europese Unie

Verordening Interoperabel Europa, het Europees Parlement en de Raad

Meer informatie

Voor een overzicht van de relevante Europese wet- en regelgeving rondom digitalisering, kunt kijken op onze Tijdlijn Digitalisering.

Mocht u meer willen weten over cyberveiligheid, dan kunt u kijken bij dit thema op ons overzicht van netwerk en platforms over digitalisering.

• Toegankelijkheid Digitale Samenleving

  Digitale Overheid

  • Dit platform van de Rijksoverheid bevat veel informatie over verschillende onderwerpen binnen digitalisering. Op de website zijn onder andere uitlegpagina’s, nieuwsberichten en informatie over evenementen te vinden.
  • Zie de website van Digitale Overheid

   

  Eurocities

  • Eurocities is het grootste netwerk van Europese steden. Eurocities is vooral bezig met belangenbehartiging, deelname aan (EU-gefundeerde) projecten, en in werkgroepen samen over verschillende onderwerpen nadenken, waaronder de digitale transformatie.
  • Zie de website van Eurocities

   

  ERRIN (European Regions Research and Innovation Network)

  • ERRIN is een netwerk van zo’n 120 regionale organisaties uit verschillende Europese landen dat leden ondersteunt om regionale onderzoeks- en innovatiecapaciteiten te vergroten. Zo organiseren ze werkgroepen over digitalisering en delen ze informatie en praktijkvoorbeelden.
  • Zie de website van ERRIN

   

  Living-in.EU

  • Dit platform heeft het doel om met een gezamenlijke aanpak aan de digitale transformatie te werken. Ze houden zich bezig met het delen van informatie en het organiseren van evenementen en werkgroepen. De focus ligt op stedelijk, lokaal en regionaal niveau.
  • Zie hier de website van Living-in.EU

   

  RADIO Leerplatform (RijksAcademie voor Digitalisering en Informatisering Overheid)

  • Dit leerplatform biedt gratis e-learning modules aan voor zowel de Rijksoverheid als decentrale overheden in Nederland. Het leerplatform biedt cursussen en e-learnings aan over verschillende thema’s, zoals cybersecurity, actieve openbaarmaking en informatiehuishouding.
  • Zie de website van het RADIO Leerplatform

   

  RDI (Rijksinspectie Digitale Infrastructuur)

  • Deze overheidsorganisatie maakt deel uit van het ministerie van Economische Zaken. De RDI adviseert over en geeft uitvoering aan wet- en regelgeving over digitalisering. Op de website zijn publicaties, nieuwsberichten en informatie over digitale infrastructuur te vinden.
  • Zie de website van RDI

• Privacy en Data

  DS4SSCC (Data Space for Smart and Sustainable Cities and Communities)

  • Dit door de EU gefinancierde initiatief is actief bezig met het voorbereiden en creëren van dataruimtes voor slimme gemeenschappen, op zowel lokaal, regionaal en nationaal niveau.
  • Zie de website van DS4SSCC

   

  ODALA (Open Source Data Lakes for Smart Cities)

  • ODALA is een project dat zich bezighoudt met het verbeteren van het databeheer in steden ten behoeve van overheidsdiensten. Door het opzetten van een ‘data lake’ – een omgeving met allerlei soorten data – worden Europese overheidsdiensten met elkaar verbonden en beter ondersteund.
  • Zie de website van ODALA

• Cyberveiligheid

  CyberSec4Europe

  • Dit platform werkt aan een Europees Cybersecurity netwerk. CyberSec4Europe doet onderzoek naar cyberveiligheid in heel de EU, verzamelt praktijkvoorbeelden, organiseert evenementen en publiceert resultaten en aanbevelingen.
  • Zie de website van CyberSec4Europe

   

  ENISA (Agentschap van de Europese Unie voor Cyberbeveiliging)

  • ENISA is een Europees agentschap dat met belanghebbenden samenwerkt om bij te dragen aan het cyberbeveiligingsbeleid van de EU. ENISA houdt zich bezig met de certificering van ICT-producten, -diensten en -processen, capaciteitsopbouw en bewustmaking.
  • Zie de website van ENISA

   

  NCSC (Nationaal Cyber Security Centrum)

  • Deze publiek-private organisatie maakt deel uit van het ministerie van Justitie & Veiligheid en zet zich in voor digitale, veilige infrastructuur. Daarnaast ondersteunt het NCSC organisaties in geval van een cyberincident.
  • Zie de website van NSCS

   

  Overheidsbreed Cyberprogramma

  • Dit initiatief van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is opgericht om bestuurders te laten oefenen met en te informeren over cyberincidenten. Ze organiseren cyberoefeningen, webinars en masterclasses.
  • Zie de website van het Overheidsbreed Cyberprogramma

• Technologie en Markt

  NLAIC (Nederlandse Artificiële Intelligentie Coalitie)

  • Dit publiek-private samenwerkingsverband zet zich in om AI-ontwikkelingen in Nederland te versnellen en verschillende AI-initiatieven in Nederland met elkaar te verbinden. Zo verzamelt de NLAIC ‘use cases’ en organiseert de coalitie evenementen en werkgroepen.
  • Zie de website van NLAIC

   

  OASC (Open & Agile Smart Cities)

  • Dit non-profit netwerk heeft het doel om de opkomende mondiale smart city data- en dienstenmarkt te creëren en vorm te geven. Ze leiden mensen op in de OASC Academy, verzamelen praktijkvoorbeelden en organiseren evenementen.
  • Zie de website van OASC

Heeft u suggesties voor platforms of netwerken die ook, gericht op decentrale overheden, met digitalisering bezig zijn? Laat het ons weten via info@europadecentraal.nl.