De Europese Commissie wil de NIS2-richtlijn vereenvoudigen. Op 20 januari 2026 publiceerde zij daarvoor een voorstel, gekoppeld aan de nieuwe Cybersecurity Act 2 (CSA2). De wijzigingen werken naar alle waarschijnlijkheid pas in 2028 door in de Cyberbeveiligingswet (Cbw). Ons advies: gemeenten hoeven nu nog niet veel (anders) te doen. Maar sommige ontwikkelingen verdienen nu al aandacht.

Vier dingen die eraan komen

Een Europees certificaat als compliance-bewijs

Straks kunnen entiteiten naleving van de NIS2-zorgplicht aantonen met een Europees CSA-certificaat (een ‘cyber posture certificaat’). Handig richting de toezichthouder, en een logische aanvulling op de BIO2 en ISO 27001 waar gemeenten al mee werken. De precieze invulling wordt nog uitgewerkt, het loont al wel om dit nu al mee te nemen in de plannen voor de implementatie van de Cbw.

Post-quantum cryptografie: de klok tikt

Lidstaten moeten beleid maken voor de overgang naar post-quantum cryptografie (PQC). Voor kritieke toepassingen geldt 2030 als deadline, voor de rest moet PQC in 2035 zijn ingeregeld. Dat klinkt ver weg, maar dit soort transities kosten tijd. Encryptie- en certificaatbeheer is door de verschuiving naar cloud en ketenpartners aanzienlijk complexer geworden. De eindverantwoordelijkheid blijft bij de proceseigenaar, ook als uitvoering bij een leverancier ligt. Ter voorbereiding hebben gemeenten het liefste in beeld:

• Waar welke cryptografie wordt ingezet (welke applicaties, informatiecategorieën en processen)
• Wie de implementatie van cryptografie uitvoert
• Wie het sleutelbeheer uitvoert

Minder vragenlijsten naar leveranciers

Veel gemeenten sturen hun leveranciers lange vragenlijsten over informatiebeveiliging. Die leveranciers ontvangen er tientallen, allemaal anders. De Commissie erkent dit probleem en gaat geharmoniseerde richtlijnen uitwerken. Minder dubbel werk, meer proportionaliteit. Goed nieuws voor iedereen en het sluit goed aan bij het initiatief van Samen Controleren van de Informatiebeveiligingsdienst.

Ransomware in de meldplicht

Bij een ransomware-incident moeten gemeenten straks drie extra zaken rapporteren: hoe de aanval werd gedetecteerd, wat de aanvalsvector was en welke maatregelen werden genomen. Bij een significante aanval kunnen het NCSC, de IBD of de toezichthouder ook vragen of er losgeld is geëist en of (en hoe) er betaald is. De EU heeft internationaal beleid onderschreven om geen losgeld te betalen bij ransomware. Dat beleid is niet juridisch bindend, maar de het uitgangspunt is helder. Wij adviseren gemeenten vooral te oefenen met dilemma’s rond losgeldbetaling, zodat dit debat niet voor het eerst wordt gevoerd tijdens een aanval.

Wanneer gaat dit in?

Het Europees Parlement pakt dit voorstel naar verwachting later in 2026 op. Na onderhandelingen volgt een vastgestelde richtlijn, waarschijnlijk in 2027. Daarna hebben lidstaten nog twaalf maanden om het in nationale wetgeving om te zetten. De Cbw wordt dus waarschijnlijk pas in 2028 aangepast. Geen haast, maar ook geen reden om achterover te leunen.

Hoe staat je gemeente er nu voor?

Zo vlak voor het vaststelling van de nieuwe begroting is het een goed moment om te kijken de stand van zaken van de Cbwimplementatie. Zijn de risicomanagementmaatregelen (ISMS) al op orde? Is er een werkend draaiboek voor incidenten? Wij van PDCS kennen de gemeentelijke praktijk van binnen en van buiten. Wij zorgen voor een aanpak die past bij de organisatie, de schaal en de capaciteit.

Bekijk onze diensten op pdcs.nl/diensten