Nederland beschikt over een ontwikkelde kenniseconomie en sterk gedigitaliseerde samenleving. Onze toenemende afhankelijkheid van digitale systemen maakt Nederland tot doelwit van cyberaanvallen, zoals DDoS-aanvallen en ransomware. Door de actuele geopolitieke veranderingen zijn de risico’s verder toegenomen. Succesvolle cyberaanvallen kunnen kritieke sectoren uitschakelen of controleren en vormen een directe dreiging voor de maatschappij, de economie en de veiligheid van burgers. Wanneer de cyberbeveiliging van overheden en bedrijven niet op orde is, komt ook de nationale veiligheid in het gedrang.
Wet- en regelgeving
In het programma Digital Decade van de Europese Unie wordt nieuwe wet- en regelgeving geïntroduceerd en vertaald naar nationale wetgeving. Zo is de Cyberbeveiligingswet een nationale vertaling van de NIS2 (Network and Information Security Directive). Een gemeente is hierin aangemerkt als essentiële entiteit, wat extra verplichtingen meebrengt op het gebied van zorg, melden, registratie en toezicht. Voor de onderliggende BIO (Baseline Informatiebeveiliging Overheid) is versie 2.0 geïntroduceerd met extra aandacht voor een risicogebaseerde aanpak van informatiebeveiliging en de aantoonbaarheid van maatregelen. Bestuurders hebben extra verplichtingen en verantwoordelijkheden gekregen en er kunnen boetes worden opgelegd wanneer niet wordt voldaan aan het normenkader. De gemeente zal dan ook meer capaciteit en inspanning moeten leveren om te voldoen aan deze wet- en regelgeving.
Cyberrisico’s
De noodzaak van cybersecurity (beveiliging van systemen tegen misbruik) en datasecurity (beveiliging van data tegen bewuste of onbewuste verandering, vernietiging of openbaarmaking) neemt sterk toe. Hoewel malware (ongewenste kwaadaardige software) en in het bijzonder ransomware (gijzelingssoftware) steeds vaker voorkomt, is menselijk handelen (bijvoorbeeld het aanklikken van een link in phishing-mail) meestal de oorzaak van het ongewenst openbaren van informatie. Het vergroten van de algemene kennis en bewustwording op het gebied van informatiebeveiliging en privacy moet daarom een speerpunt blijven waar we verder in investeren.
Testen en trainen
Meerdere keren per jaar laat de gemeente Katwijk zich door gecertificeerde partners testen. Ook in de komende periode besteden we extra aandacht aan het trainen voor en testen met het detecteren en reageren op beveiligingsincidenten. Met professionele ondersteuning zetten we in op voortdurende evaluatie en verbetering. Bedrijfscontinuïteit krijgt extra aandacht en wordt geactualiseerd.
Controle
De gemeente moet zich jaarlijks verantwoorden over de implementatie van het BIO-normenkader (Baseline Informatiebeveiliging Overheid) en de Cyberbeveiligingswet via de ENSIA (Eenduidige Normatiek Single Information Audit). Een onafhankelijke IT-auditor voert hierover controle uit.
Bij de jaarlijkse accountantscontrole neemt de aandacht voor informatiebeveiliging verder toe.