Uit recent onderzoek van het blijkt dat 72% van de gemeentelijke websites in Nederland niet voldoet aan de verplichte beveiligingsstandaarden. Dit betekent dat gevoelige informatie van burgers, zoals persoonsgegevens en bankgegevens, onvoldoende beschermd is tegen hackers en andere cybercriminelen.
Bovenstaande bevinding is alarmerend, aangezien gemeenten verantwoordelijk zijn voor de veiligheid van hun websites en de privacy van hun burgers.
Geen duidelijk overzicht, gebrek aan bewustzijn
Hoewel de primaire websites van de 342 gemeenten in Nederland meestal goed beveiligd zijn, is het beheer over de vele andere websites die in de loop der jaren zijn gecreëerd, verloren gegaan. Sommige gemeenten beheren honderden van deze websites zonder een duidelijk overzicht van welke ze precies in hun portfolio hebben. Deze situatie is voornamelijk het resultaat van een gebrek aan coördinatie en bewustzijn over de eigenaarschap en verantwoordelijkheid voor deze websites. Met de toenemende hoeveelheid van gemeentelijke samenwerkingen en projecten blijft het aantal websites stijgen, vaak zonder duidelijke richtlijnen of beheer om de beveiliging en toegankelijkheid te waarborgen.
De verplichte beveiligingsstandaarden, waaronder veilige e-mailcommunicatie en HTTPS-verbindingen, zijn bedoeld om burgers te beschermen tegen cyberaanvallen zoals phishing. Toch voldoet slechts 28% van de gemeentelijke websites hieraan. Dit brengt niet alleen risico’s met zich mee voor de veiligheid van persoonlijke gegevens, maar ook voor de algehele digitale infrastructuur van de gemeenten.
Het begint bij basis cyberhygiëne
Bovenstaande is natuurlijk gevaarlijk en samen te vatten onder de noemer ‘beleid voor cyberhygiëne’ zoals Digital Trust Center die schetst. Deze stelt dat ‘voordat je invulling in de vorm van beleid kan geven aan de basispraktijken op het gebied van cyberhygiëne, is het van belang om het te definiëren. Met cyberhygiëne gaat het over dat een organisatie de basisprincipes van DTC en de basismaatregelen van NCSC volgt. Het opnemen van deze basispraktijken in het cybersecuritybeleid van jouw organisatie, zorgt ervoor dat de afspraken voor iedere werknemer gelden.’ Deze richtlijnen komen overeen met de basisversie van het NIS2 Quality Mark van Samen Digitaal Veilig; de NIS2-QM10 Basic. Vanuit SDV hameren we daar ook voortdurend op. Dat branches en bedrijven zo snel mogelijk hun basis cyberhygiëne op orde moeten hebben. Dat geldt voor alle bedrijven in Nederland.
Risico-gebaseerde benadering voor cybersecurity
Met nieuwe, strengere wetgeving in aantocht, zoals de Network and Information Security Directive (NIS2), die in 2024 van kracht wordt, staan gemeenten onder druk om hun digitale beveiliging op orde te krijgen. Deze wetgeving benadrukt het belang van een risico-gebaseerde benadering voor cybersecurity, waarbij de grootste risico’s prioriteit krijgen. Echter, gezien het huidige gebrek aan naleving en handhaving, blijft het de vraag in hoeverre gemeenten in staat zullen zijn om aan deze nieuwe eisen te voldoen. De situatie benadrukt een dringende behoefte aan verbeterde regelgeving, beter beheer, en meer bewustzijn en training onder gemeenteambtenaren om de veiligheid en toegankelijkheid van alle gemeentelijke websites te garanderen.
[Bron: Binnenlands Bestuur]