BLOG: De Cyberbeveiligingswet: nieuwe verantwoordelijkheden en aansprakelijkheid voor bestuurders van gemeenten en gemeentelijke regelingen

De NIS2-richtlijn en de Cyberbeveiligingswet introduceren nieuwe verantwoordelijkheden en een hoofdelijke aansprakelijkheid voor bestuurders. Wat zijn de gevolgen voor gemeenten en gemeentelijke regelingen? Philippe Dauphin, adviseur bij L2P, vertelt over de vereisten voor de directeuren, managers, wethouders en raadsleden.

Nederlandse organisaties krijgen in 2025 te maken met de Cyberbeveiligingswet. De wet is de nationale doorvertaling van de Network and Information Security directive (NIS2-richtlijn) van de Europese Unie, die is bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in de lidstaten te verbeteren. Een van de meest in het oog springende onderdelen van de NIS2-Richtlijn is de aansprakelijkheid van bestuurders voor de naleving van de verplichtingen van de richtlijn.

De NIS2-richtlijn en Cyberbeveiligingswet introduceren een zorgplicht, die inhoudt dat bestuursleden op de hoogte zijn van de cyberrisico’s van de organisatie én actief zijn betrokken bij de aanpak daarvan. Bestuurders moeten ook aantoonbaar beschikken over voldoende kennis en vaardigheden op het gebied van cyberveiligheid.

Voor veel bedrijven is het duidelijk op welke schouders de nieuwe verantwoordelijkheden van de NIS2-richtlijn rust. Maar hoe zit het precies in gemeenten en gemeentelijke regelingen? Voor welke bestuurders geldt de zorgplicht? Zijn ambtsdragers, zoals wethouders, straks hoofdelijk aansprakelijk? Wordt het college van burgemeester en wethouders afgerekend op de naleving van de wettelijke vereisten? In dit blog staan de antwoorden.

Wat betekent de zorgplicht van bestuurders onder de NIS2-richtlijn en de Cyberbeveiligingswet?

De NIS2-richtlijn stelt (in artikel 20) dat bestuurders in het kader van de zorgplicht:

· instemmen met de maatregelen op het gebied van cyberveiligheid die nodig zijn om risico's te beheersen;
· toezicht houden op de juiste toepassing van deze maatregelen binnen hun organisatie; en
· persoonlijke verantwoordelijkheid nemen voor de naleving van voorschriften van de richtlijn.

Het wetsvoorstel voor de Cyberbeveiligingswet geeft (in artikel 26) een uitwerking van de zorgplicht en de aansprakelijkheid van het bestuur. Gemeenten en gemeentelijke regelingen (zoals samenwerkingsverbanden) zijn in de concept-wet aangewezen als essentiële entiteiten. Bestuurders van deze entiteiten moeten toezien op de ontwikkeling en de uitvoering van de juiste technische, operationele en organisatorische maatregelen om de beveiligingsrisico’s van de organisatie tegen te gaan. Daarnaast hebben alle bestuursleden voldoende kennis en vaardigheden nodig om risico’s te identificeren, de bijbehorende maatregelen te beoordelen, en de gevolgen voor de organisatie in te schatten.

Voor elk bestuurslid geldt bovendien de verplichting om binnen twee jaar na de komst van de Cyberbeveiligingswet - of binnen twee jaar na de gemeentelijke benoeming - de benodigde kennis op peil te hebben. Verder stelt de Cyberbeveiligingswet dat alle bestuurders het kennisniveau aantoonbaar actueel houden. Hiervoor is een schriftelijk bewijs van deelname aan een relevante training of opleiding vereist.

Wie in de gemeente is aansprakelijk onder de Cyberbeveiligingswet?

De zorgplicht en de hoofdelijke aansprakelijkheid daarvoor gelden voor elk bestuurslid van een gemeente (en een gemeentelijke regeling), dat wil zeggen voor de leden van de ambtelijke leiding. Volgens de Memorie van Toelichting bij de Cyberbeveiligingswet gaat het dan om de directie of het managementteam, niet om politiek benoemde ambtsdragers zoals wethouders. Dit betekent dat functies zoals de directeur, de gemeentesecretaris, de concern controller en de teammanager verantwoordelijk zijn voor de uitvoering van de gekozen beveiligingsmaatregelen, en daarvoor de actuele expertise in huis moeten hebben.

De vereisten van artikel 26 van de Cyberbeveiligingswet zijn niet van toepassing op politieke ambtsdragers van een gemeente. De aansprakelijkheidsregels van andere wet- en regelgeving gelden overigens wél. Zo is het college van burgemeester en wethouders als verwerkingsverantwoordelijke aansprakelijk onder de Algemene verordening gegevensverwerking (AVG). Deze aansprakelijkheid is aan de orde als er bijvoorbeeld een informatiebeveiligingsincident plaatsvindt in de gemeentelijke verwerkingen waarbij ook persoonsgegevens zijn betrokken.

Ook voor de leden van de gemeenteraad gelden de zorgplicht en aansprakelijkheid van de Cyberbeveiligingswet niet. Toch speelt de gemeenteraad een belangrijke rol bij de zorgplicht van een gemeente. Raadsleden kunnen bijvoorbeeld aan het college vragen stellen over:

· de ondersteuning van de gemeentelijke afdelingen bij de implementatie van de Cyberbeveiligingswet;
· de omgang van de gemeente met informatiebeveiliging en met de betrouwbaarheid en toegankelijkheid van digitale
  systemen; 
· de aanpak van de digitale risico's die van invloed zijn op de continuïteit van de gemeentelijke diensten.

Daarnaast geeft de gemeenteraad goedkeuring aan de inzet van budgetten en middelen, waaronder de capaciteit voor informatiebeveiliging. Bovendien kunnen raadsleden bij ernstige incidenten, of bij niet-naleving van wettelijke vereisten, om aanvullende maatregelen verzoeken.

De impact van de Cyberbeveiligingswet

Kortom: als de Cyberbeveiligingswet van kracht is - naar verwachting tussen april en september 2025 - krijgt de ambtelijke leiding van een gemeente (of een gemeentelijke regeling) nieuwe verantwoordelijkheden voor informatiebeveiliging. De leden van de directie en het managementteam zijn ook nog eens hoofdelijk aansprakelijkheid voor de naleving van deze zorgplicht, en zijn verplicht om zich te scholen op het gebied van cyberbeveiliging.

De komst van de Cyberbeveiligingswet vereist in veel gevallen een aanscherping van de werkwijzen van gemeenten en gemeentelijke samenwerkingsverbanden. Bovendien is de oplevering van de nieuwe Baseline Informatiebeveiliging Overheid (BIO2) gekoppeld aan de inwerkingtreding van de Cyberbeveiligingswet. Voor gemeenten is er dan ook alle reden om de komende periode stappen verder te zetten met de informatiebeveiliging.