Gemeenten beschikken momenteel over weinig juridische middelen om digitale risico’s bij bedrijven of evenementen te reguleren. Maar mogelijk kunnen bestaande wetten – zoals de Omgevingswet – uitkomst bieden, zo onderzocht het lectoraat ‘Bestuur en Veiligheid in een Digitaliserende Samenleving’ van NHL Stenden in opdracht van de Vereniging van Nederlandse Gemeenten (VNG).
Elke dag vinden er kleine en grote digitale aanvallen plaats. Zoals op Medisch Centrum Leeuwarden (MCL) en Wetsus in 2020 en recenter Eindhoven Airport en de Universiteit Maastricht. “Digitale onveiligheid is een groeiende zorg”, zegt Willem Bantema, lector binnen de onderzoeksgroep Cybersafety. “Aanvallen op vitale dienstverlening als een vliegveld of ziekenhuis kunnen ernstige gevolgen hebben voor de samenleving. Nationaal en internationaal zijn er regels, maar tot ons onderzoek was het onduidelijk of en wat je daar op lokaal niveau aan kunt doen.”
Vergunningverlening
Die vraag legde de VNG neer bij het lectoraat ‘Bestuur en Veiligheid in een Digitaliserende Samenleving’ van de Thorbecke Academie van NHL Stenden. “Ja, er zijn op lokaal niveau mogelijkheden”, zegt Bantema. “Gemeenten kunnen de digitale veiligheid bevorderen bij bedrijven die in de gemeente zijn gevestigd of zich in de gemeente willen vestigen via vergunningverlening. Maar hoe en wat is afhankelijk van de Cyberbeveiligingswet (NIS2), die nu nog in ontwikkeling is.”
Tot die tijd zouden gemeenten niet langs de zijlijn moeten toekijken. “Totdat zo’n wet er is, kunnen gemeenten nu al stappen zetten om hun digitale risico’s in kaart te brengen. Dat is een van de aanbevelingen die we doen op basis van het onderzoek. Gemeenten moeten proactief werken aan bewustwording en samenwerking met bedrijven om digitale risico’s te verminderen en zich zo voorbereiden op de nieuwe regels die door NIS2 worden ingevoerd. Kortom: weet wat de risicio’s bij bedrijven en evenementen op jouw grondgebied zijn.”
Juridisch haakje
Het lectoraat onderzocht hoe gemeenten digitale veiligheid kunnen verbeteren via vergunningverlening aan bedrijven. Wetten als de Omgevingswet en de Algemene Plaatselijke Verordening (APV) bieden mogelijk ruimte om veiligheidsvoorschriften te stellen. “Deze wetten gaan over de openbare orde en fysieke leefomgeving”, zegt Denise de Boer, collega-onderzoeker van Bantema en eveneens betrokken bij het onderzoek. “Maar die orde en leefomgeving kunnen ook door digitale risico’s worden verstoord. Dat is het juridische haakje.”
Er komt een hoop kijken bij de inrichting van gemeentelijke bevoegdheden op dit gebied, blijkt uit een rondgang van de onderzoekers. Bantema: “Onder experts wordt verschillend gedacht over de wenselijkheid en uitvoerbaarheid. Voordelen zijn de lokale kennis en contacten van de gemeente met de bedrijven. Een nadeel dat er (nog) te weinig expertise is, zeggen critici. Ook wordt aangegeven dat het onwenselijk is dat verschillende gemeenten verschillende eisen gaan stellen.”
Digitale risico’s in kaart brengen
Met de overhandiging van het onderzoek aan de VNG hoopt Bantema een bijdrage te leveren aan de discussie over gemeentelijke bevoegdheden op het gebied van digitale veiligheid en de mogelijkheden om eisen eraan te stellen via vergunningen. “Aan te bevelen is in ieder geval dat gemeenten de bestaande digitale risico’s binnen hun grenzen in kaart brengen en zich voorbereiden op de toekomstige regelgeving en implementatie van de NIS2-richtlijn. Daarnaast kunnen gemeenten nu al eisen stellen aan bedrijven bij aanbestedingen en inkoop.”
