Gemeenten en de Cyberbeveiligingswet: aandachtspunten voor het college van B&W

De Europese NIS2-richtlijn heeft als doel een hoog niveau van digitale weerbaarheid in de Europese Unie te waarborgen, zodat essentiële en maatschappelijk belangrijke diensten beter beschermd zijn tegen cyberincidenten. Overheden vervullen hierin een cruciale rol. Wanneer digitale systemen uitvallen, kunnen vergunningtrajecten vertraging oplopen, voorzieningen op grond van bijvoorbeeld de Wmo of Jeugdwet niet tijdig worden toegekend, uitbetalingen stagneren en burgerzaken tijdelijk niet beschikbaar zijn. Gemeenten vervullen publieke taken waarvan de continuïteit maatschappelijk essentieel is. Storingen raken direct inwoners, bedrijven en het vertrouwen in het openbaar bestuur.

In Nederland wordt de richtlijn omgezet in de Cyberbeveiligingswet (Cbw), waarvan de inwerkingtreding vooralsnog wordt verwacht in het tweede kwartaal van 2026. Met deze wet wordt cyberbeveiliging nadrukkelijk een bestuurlijke aangelegenheid. Het college van B&W wordt aangemerkt als het bestuur van de essentiële entiteit en draagt daarmee formele verantwoordelijkheid voor de goedkeuring van de zorgplichtmaatregelen en het toezicht op de uitvoering daarvan.

Deze blog maakt duidelijk welke wettelijke verplichtingen voor u als college gelden zodra de Cyberbeveiligingswet in werking treedt. U leest wat de drie kernverplichtingen, registratieplicht, zorgplicht en meldplicht, inhouden en wat deze concreet betekenen voor uw bestuurlijke verantwoordelijkheid. Daarnaast wordt toegelicht welke rol u als college zelf vervult bij de goedkeuring en het toezicht op de maatregelen en hoe ketenverantwoordelijkheid onlosmakelijk samenhangt met de zorgplicht.

Gemeenten als essentiële entiteiten

De regering heeft ervoor gekozen om gemeenten onder het regime van de Cyberbeveiligingswet te brengen. Gemeenten kwalificeren van rechtswege als essentiële entiteiten. Anders dan bij bepaalde andere organisaties geldt voor gemeenten geen afzonderlijke omvangstoets; de aanwijzing volgt uit hun publieke taak.

Als essentiële entiteit moeten gemeenten voldoen aan de verplichtingen uit de Cyberbeveiligingswet en vallen zij onder een proactief toezichtregime. Voor overheidsinstanties betreft de bevoegde autoriteit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Digitale weerbaarheid is daarmee niet alleen een interne organisatiekwestie, maar een publiekrechtelijke verantwoordelijkheid waarop proactief toezicht wordt gehouden.

Registratieplicht, zorgplicht en meldplicht

Op grond van de Cyberbeveiligingswet gelden drie kernverplichtingen. Gemeenten moeten zich registreren in het entiteitenregister (registratieplicht), passende en evenredige beveiligingsmaatregelen treffen (zorgplicht) en significante incidenten tijdig melden, waaronder een vroege waarschuwing binnen 24 uur na kennisname (meldplicht).

De zorgplicht is risicogebaseerd. Gemeenten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om risico's voor hun netwerk- en informatiesystemen te beheersen en incidenten te voorkomen of de gevolgen daarvan te beperken. De wet schrijft niet exact voor welke concrete beveiligingsmaatregelen moeten worden gekozen, maar verlangt een eigen risicobeoordeling.

Tegelijkertijd is de norm niet vrijblijvend. Artikel 21 van de Cyberbeveiligingswet noemt categorieën van maatregelen die in ieder geval moeten worden geadresseerd. Deze wettelijk genoemde categorieën vergen in de praktijk een concrete invulling, bijvoorbeeld door:

• Beleid, zoals structurele risicoanalyses, een incident response plan (inclusief simulaties of crisisoefeningen) en een helder wachtwoord- en toegangsbeleid.
• Beveiligingsmaatregelen, zoals tweefactor-authenticatie, zorgvuldig autorisatiebeheer, betrouwbare back-ups, netwerksegmentatie en encryptie van data, zowel at rest als in transit.
• Beoordeling van toeleveranciers, bijvoorbeeld via audits, pentesten en duidelijke beveiligingsafspraken in contracten.
• Awareness en opleiding van medewerkers als onderdeel van structurele cyberhygiëne.

Deze voorbeelden zijn niet uitputtend. De concrete invulling moet passend en evenredig zijn, afgestemd op het risicoprofiel en de aard van de gemeentelijke dienstverlening.

Veel gemeenten werken reeds met de Baseline Informatiebeveiliging Overheid (BIO). De BIO vormt een belangrijk normenkader en een waardevol uitgangspunt voor informatiebeveiliging. Naleving van de BIO betekent echter niet automatisch dat ook volledig aan de verplichtingen uit de Cyberbeveiligingswet wordt voldaan. Het college, met ondersteuning van onder meer de CISO, zal daarom moeten beoordelen in hoeverre de bestaande BIO-implementatie daadwerkelijk aansluit bij de vereisten van de Cyberbeveiligingswet.

Op de naleving wordt toezicht gehouden door Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het is aan de toezichthouder om te beoordelen of de gemeente voldoende invulling heeft gegeven aan de wettelijke eisen uit de Cyberbeveiligingswet. Bij schending van de verplichtingen kunnen bestuursrechtelijke maatregelen worden opgelegd, waaronder een last onder dwangsom of een bestuurlijke boete.

De rol van het college van burgemeester en wethouders binnen de Cyberbeveiligingswet

De Cyberbeveiligingswet stelt het bestuur centraal in het cyberbeveiligingskader. Het college moet de zorgplichtmaatregelen goedkeuren en toezien op de uitvoering daarvan. Daarmee is cyberbeveiliging geen exclusief ambtelijk dossier meer, maar een bestuurlijke verantwoordelijkheid.

Dit betekent dat het college inzicht moet hebben in de belangrijkste digitale risico's, moet kunnen beoordelen of de voorgestelde maatregelen passend en evenredig zijn en bestuurlijke keuzes moet maken over prioriteiten en investeringen. Daarnaast rust op het college de verantwoordelijkheid om toe te zien op de uitvoering en effectiviteit van de maatregelen. De rol strekt zich daarmee uit tot zowel besluitvorming als controle.

De Cyberbeveiligingswet stelt bovendien expliciete eisen aan de kennis en vaardigheden van bestuursleden. Het college moet beschikken over voldoende kennis en vaardigheden om cyberrisico's te kunnen identificeren, risicobeheersmaatregelen te kunnen beoordelen en de gevolgen daarvan voor de gemeentelijke dienstverlening te kunnen duiden. Deze kennis moet aantoonbaar worden verworven en actueel worden gehouden, onder meer door middel van training. Cyberweerbaarheid wordt daarmee een continu proces waarin het bestuur een voorbeeldfunctie vervult.

Ketenverantwoordelijkheid

De zorgplicht strekt zich mede uit tot beveiligingsaspecten in de toeleveringsketen en dienstverleningsrelaties. Gemeenten zijn in sterke mate afhankelijk van externe IT-dienstverleners, cloudproviders en softwareleveranciers. Ketenrisico's moeten expliciet onderdeel zijn van de risicobeoordeling en van contractuele en organisatorische borging. De bestuurlijke verantwoordelijkheid van het college ziet daarmee niet alleen op de interne organisatie, maar ook op de beheersing van externe risico's die de continuïteit van publieke dienstverlening kunnen raken.

Conclusie

Met de Cyberbeveiligingswet is cyberbeveiliging nadrukkelijk een aangelegenheid van het bestuur geworden. Voor gemeenten betekent dit dat het college van B&W actief betrokken moet zijn bij de goedkeuring van de zorgplichtmaatregelen, het toezicht op de uitvoering daarvan en het verwerven en onderhouden van de benodigde kennis en vaardigheden. Cyberweerbaarheid is daarmee geen uitsluitend technisch vraagstuk meer, maar een integraal onderdeel van goed bestuur.

Wilt u meer informatie over de bestuurlijke implicaties van de Cyberbeveiligingswet? Of bent u geïnteresseerd in een inhouse training over de Cyberbeveiligingswet voor uw college of directieteam? Neem dan gerust contact op met Hillie Lunter of Tom Klatter. Wij denken graag met u mee.