Cyberbeveiligingswet: de rol van bestuur en gemeentesecretaris
Wat gemeentesecretarissen en bestuurders moeten weten en waar zij terecht kunnen voor ondersteuning
Digitale veiligheid is geen technisch domein, maar een bestuurlijke verantwoordelijkheid die direct raakt aan de continuïteit van gemeentelijke dienstverlening. Gemeenten zijn afhankelijk van digitale systemen voor vrijwel alle processen. Een verstoring kan betekenen dat inwoners geen documenten kunnen aanvragen, dat sociale dienstverlening stilvalt of dat ketenpartners hun werk niet kunnen doen.
De Cyberbeveiligingswet (Cbw), die naar verwachting in augustus 2026 in werking treedt, maakt deze verantwoordelijkheid explicieter en vraagt om aantoonbaar handelen. Niet omdat informatiebeveiliging opeens belangrijk is geworden, dat is het al langere tijd, maar omdat de wet onderstreept wat altijd al gold: gemeenten moeten hun dienstverlening betrouwbaar en weerbaar en bestuurlijk geborgd organiseren.
Digitale veiligheid: een bestuurlijke opgave, geen ICT‑vraagstuk
De Cbw wijst gemeenten en diverse gemeentelijke samenwerkingsverbanden aan als essentiële entiteit. Daarmee wordt digitale veiligheid een expliciet onderdeel van goed bestuur. Het gaat niet over ICT, maar over continuïteit van dienstverlening, publieke waarden en het vertrouwen van inwoners. Bestuurders moeten weten waar de grootste risico’s zitten, daar bewuste keuzes in maken en zorgen dat de organisatie voorbereid is als er iets gebeurt.
Gemeenten die dit goed doen, onderscheiden zich niet door techniek, maar doordat bestuur, management en uitvoering samen optrekken. De Informatiebeveiligingsdienst (IBD), de landelijke digitale ondersteuningsdienst voor gemeenten, ziet in de praktijk dat incidenten vaak gaan over mensen, processen en besluitvorming — niet over systemen. Daarom is het belangrijk om eenvoudig te beginnen: met eigenaarschap, het goede gesprek en duidelijke keuzes.
De rol van de gemeentesecretaris: eigenaarschap, sturing en voorbereiding
Hoewel de wettelijke eindverantwoordelijkheid bij het college ligt, heeft de gemeentesecretaris een cruciale rol in de organisatorische borging. De secretaris hoeft geen cyberexpert te zijn — net zoals een secretaris geen wegenbouwer hoeft te zijn om verantwoordelijk te zijn voor de openbare ruimte. De rol gaat over sturing, eigenaarschap en het organiseren van de juiste deskundigheid.
Belangrijke elementen zijn:
- digitale veiligheid structureel op de bestuurlijke agenda houden
- zorgen dat de juiste mensen samenwerken (CISO, FG, CIO, lijnmanagers)
- verantwoordelijkheden helder beleggen
- zorgen dat de organisatie aantoonbaar leert, verbetert en voorbereid is
- ketenverantwoordelijkheid organiseren: weten waarvan je afhankelijk bent, wie met leveranciers spreekt en wie risico’s beoordeelt
Een gemeentesecretaris hoeft niet te weten hoe een Information Security Management System (ISMS) technisch werkt. Wel moet hij of zij kunnen beoordelen of de organisatie aantoonbaar in control is: weten we wat belangrijk is, leren we van incidenten, kunnen we keuzes uitleggen?
De CISO: onafhankelijk adviseur, geen eindverantwoordelijke
De Cbw legt de eindverantwoordelijkheid expliciet bij bestuurders. De CISO is geen eigenaar van de risico’s, maar wel de belangrijkste onafhankelijke adviseur die bestuur en directie ondersteunt bij het duiden van risico’s, het adviseren over maatregelen en het aantoonbaar maken van sturing. Het bestuur blijft verantwoordelijk voor het goedkeuren van maatregelen en het toezicht op uitvoering.
Hoe gemeenten zich kunnen voorbereiden
Gemeenten hoeven niet morgen alles perfect geregeld te hebben. Maar ze kunnen morgen wel beginnen met het goede gesprek. De IBD adviseert drie concrete stappen:
Morgen: stel de juiste vragen
Volgende week: organiseer verantwoordelijkheden
Volgende maand: oefen een incident
Daarnaast is het verstandig om te starten met de vraag: welke dienstverlening willen we onder alle omstandigheden overeind houden? Als dat helder is, volgen de juiste maatregelen veel logischer.
Verplichte opleiding voor bestuurders
Bestuurders moeten binnen twee jaar na inwerkingtreding van de wet een verplichte opleiding volgen. Gemeenten mogen deze zelf vormgeven, zolang deze voldoet aan de wettelijke eisen. Het is essentieel dat de gemeentesecretaris actief betrokken is bij de inrichting en uitvoering van deze training, zodat digitale veiligheid organisatiebreed wordt verankerd.
De VNG heeft een concept‑syllabus ontwikkeld die gemeenten ondersteunt bij het opzetten van een passende training.
Waar kunnen gemeentesecretarissen en bestuurders terecht voor ondersteuning?
Informatiebeveiligingsdienst (IBD)
Ondersteuning bij preventie, detectie, incidentrespons, bestuurlijke oefeningen en kritieke processen. Voor meer informatie en ondersteuningsproducten, zie hun website.
VNG
Duiding van de wet, handreikingen, syllabus voor bestuurstraining en landelijke afstemming.
- een webinar op 6 juli (dialoog tussen gemeentesecretaris en CISO)
- een Q&A met veelgestelde vragen
- een praatplaat die de rol van de gemeentesecretaris onder de Cbw inzichtelijk maakt
Voor meer informatie en ondersteuningsproducten, zie hun website.
VGS
De VGS ondersteunt gemeentesecretarissen door actief kennis te delen via onze nieuwsbrieven, de informatie op onze website en de maandelijkse VGS‑uurtjes. Op 16 september organiseren we een VGS‑uurtje dat volledig in het teken staat van de Cyberbeveiligingswet. We gaan in op thema’s zoals governance, ketenverantwoordelijkheid, audits en bestuurlijke besluitvorming. Meer informatie is te vinden op de pagina bijeenkomsten.
Samen werken aan digitale weerbaarheid
Digitale veiligheid vraagt om bestuurlijke aandacht, samenwerking en een cultuur waarin leren, verbeteren en voorbereiden centraal staan. Door tijdig te investeren in governance, eigenaarschap en bestuurlijke oordeelsvorming, kunnen gemeenten hun digitale weerbaarheid versterken en de continuïteit van dienstverlening voor inwoners waarborgen.