Omschrijving risico
We zien een sterke toename van het aantal en de impact van cyber-en gedigitaliseerde criminaliteit, ook bij gemeenten. Belangrijk is om op te merken dat 100% veilig en toekomstbestendig niet bestaat; kwetsbaarheden, dreigingen en daarmee ook het informatiebeveiligingsproces, veranderen continu. Wij zijn als gemeente constant in beweging en spelen in op nieuwe ontwikkelingen en treffen passende maatregelen op basis van risicomanagement. Welke dit zijn, staat beschreven in de paragraaf Bedrijfsvoering, onder het kopje Informatieveiligheid en privacy.
Hiermee doen we zo veel als mogelijk om te voorkomen dat we als gemeente gehackt worden of dat onze dienstverlening langdurig wordt verstoord. Maar de impact van een cyberincident kan heel groot zijn. Ook financieel gezien kan de impact aanzienlijk zijn. De kosten als gevolg van bijvoorbeeld een kwetsbaarheid in software, een hack of ransomware kunnen oplopen van enkele duizenden euro’s tot een paar miljoen euro. Daarnaast is het mogelijk dat de gemeente bijvoorbeeld als gevolg van een datalek of cyberincident, een boete opgelegd kan krijgen door de toezichthoudende autoriteiten.
Ook is het mogelijk dat we geen toegang meer hebben tot onze cloudomgeving waar we steeds meer data hebben opgeslagen. Het middel dat we hiervoor inzetten om dit risico te beperken is een offline backup.
Momenteel wordt de nieuwe Cybersecurity wetgeving, de NIS2-richtlijn (de opvolger van de NIS-richtlijn) vertaald naar de Nederlandse wetgeving. Waarschijnlijk zal deze vanaf het 2e kwartaal 2026 van kracht zijn. Dit betekent onder meer dat zowel vanuit de autoriteit persoonsgegevens als vanuit de RDI (Rijksinspectie Digitale Infrastructuur) toezicht wordt gehouden en mogelijk boetes kunnen worden opgelegd.
Oorzaak
Het uitvallen van één of meerdere ICT-systemen of door een volledige storing, hack of ransomware-aanval.
Mogelijk gevolg
De continuïteit van de gemeentelijke dienstverlening kan onder druk komen te staan en
(persoons)gegevens van inwoners, ondernemers en maatschappelijke partners kunnen onderschept
of verwijderd worden.
Beheersmaatregel
Als gemeente zijn we wettelijk verplicht om aan standaarden met betrekking tot informatieveiligheid te
voldoen, zoals de (u)AVG, NIS-2 en de Nederlandse Cybersecuritywet die medio 2026 van kracht
wordt. Hiervoor zijn beheersmaatregelen voor de overheid (BIO 2.0), maar het risico is niet uit te
sluiten.
Omvang risico in euro’s: € 5.000.000
Kans dat het risico plaatsvindt: 10%
Financieel effect in euro’s: € 500.000
