Hoe voldoe je aan de Wbni als gemeente?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de Nederlandse implementatie van de Europese NIS2-richtlijn. Voor gemeenten betekent dit dat cybersecurity niet langer een vrijblijvende ambitie is, maar een wettelijke verplichting met persoonlijke bestuursaansprakelijkheid.

Gemeenten vallen onder de categorie "essentiële entiteiten" vanwege hun rol in het leveren van publieke diensten aan burgers. De Wbni verplicht gemeenten om passende technische en organisatorische maatregelen te nemen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen.

De belangrijkste veranderingen ten opzichte van de oude Wbni (gebaseerd op NIS1):

• Het toepassingsgebied is aanzienlijk uitgebreid • Bestuurders zijn persoonlijk aansprakelijk voor naleving • Boetes kunnen oplopen tot €10 miljoen of 2% van de jaaromzet • Strengere meldtermijnen bij incidenten (24 uur voor eerste melding) • Verplichte risicobeoordelingen en ketenbeheer

De basis van elke beveiligingsstrategie is weten wat je hebt. Toch blijkt uit audits dat veel gemeenten geen volledig en actueel overzicht hebben van hun ICT-infrastructuur.

Begin met een geautomatiseerde netwerkscan van alle subnetten. Handmatig bijgehouden Excel-lijsten zijn onbetrouwbaar — ze zijn verouderd op het moment dat je ze opslaat. Een Configuration Management Database (CMDB) die automatisch wordt bijgewerkt vanuit netwerk discovery is essentieel.

Breng in kaart:

• Alle servers, werkstations en endpoints • Netwerkapparatuur (switches, routers, firewalls, access points) • IoT-apparaten en operationele technologie • Cloud-diensten en SaaS-applicaties • Koppelingen met ketenpartners

Voor elk systeem moet duidelijk zijn: wie de eigenaar is, welke data het verwerkt, welke beschikbaarheidseisen gelden, en wanneer het end-of-life bereikt.

B-Brave Gatekeeper automatiseert deze inventarisatie volledig. De network discovery engine scant continu alle subnetten en houdt de CMDB automatisch actueel. Nieuwe apparaten worden binnen minuten gedetecteerd.

De Wbni vereist een gedocumenteerde en herhaalbare risicoanalyse. Dit is geen eenmalige exercitie maar een doorlopend proces.

Gebruik een erkende methodiek zoals de BIO-risicoaanpak of ISO 27005. Voor elke geïdentificeerde dreiging bepaal je:

• Waarschijnlijkheid: Hoe groot is de kans dat deze dreiging zich voordoet? • Impact: Wat zijn de gevolgen voor de dienstverlening aan burgers? • Risiconiveau: De combinatie van waarschijnlijkheid en impact • Risicobehandeling: Accepteren, mitigeren, overdragen of vermijden

Focusgebieden voor gemeenten:

Ransomware is de grootste dreiging. De gemiddelde herstelperiode voor een gemeente na een ransomware-aanval bedraagt 3-6 weken. Preventie door patchmanagement, netwerksegmentatie en back-upstrategie is cruciaal.

Supply chain risico’s nemen toe. Gemeenten zijn afhankelijk van tientallen leveranciers voor burgerzaken, belastingen, en sociale diensten. Een kwetsbaarheid bij een leverancier kan direct impact hebben op de gemeentelijke dienstverlening.

Insider threats worden onderschat. Niet elke dreiging komt van buiten. Onopzettelijke fouten door medewerkers (verkeerd geadresseerde e-mails, onbeveiligde USB-sticks) veroorzaken een groot deel van de datalekken.

Herhaal de risicoanalyse minimaal jaarlijks, en na elke significante wijziging in de ICT-omgeving.

De Wbni vereist "passende en evenredige technische maatregelen." Voor gemeenten betekent dit concreet:

Netwerksegmentatie: Scheid het kantoornetwerk van het beheernetwerk en eventuele OT-systemen. Voorkom dat een besmetting in het kantoornetwerk zich kan verspreiden naar kritieke systemen.

Patchmanagement: Kritieke kwetsbaarheden binnen 72 uur patchen. Alle andere patches binnen 30 dagen. Houd een actueel overzicht bij van alle software en de bijbehorende patchstatus.

Multi-factor authenticatie: Verplicht MFA voor alle beheerdersaccounts, VPN-toegang en clouddiensten. Overweeg hardware tokens (FIDO2) voor kritieke systemen.

Encryptie: Versleutel data at rest en in transit. Gebruik minimaal TLS 1.2 voor alle externe communicatie. Documenteer je sleutelbeheer.

Logging en monitoring: Centraliseer logbestanden van alle kritieke systemen. Monitor actief op afwijkingen. De Wbni vereist dat je incidenten kunt detecteren — zonder monitoring kun je dat niet.

Back-up en herstel: Volg de 3-2-1 regel (3 kopieën, 2 media, 1 off-site). Test regelmatig of herstel daadwerkelijk werkt. Documenteer Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO).

Gatekeeper biedt deze maatregelen als geïntegreerd platform: van vulnerability management en patchtracking tot SIEM-monitoring en compliance-dashboards.

De Wbni kent strikte meldtermijnen die afwijken van de AVG-meldplicht:

Binnen 24 uur: Een eerste melding ("early warning") bij het NCSC of de sectorale CSIRT zodra je een significant incident detecteert.

Binnen 72 uur: Een gedetailleerde incidentmelding met eerste beoordeling, ernst en eventuele grensoverschrijdende impact.

Binnen 1 maand: Een eindrapport met root cause analyse, genomen maatregelen en lessen.

Een "significant incident" voor gemeenten is: • Verstoring van dienstverlening aan meer dan 500 inwoners • Een datalek met persoonsgegevens • Financiële schade boven €25.000 • Ongeautoriseerde toegang tot kritieke systemen

Om deze termijnen te halen moet je:

1. Een incident response plan hebben met duidelijke escalatiepaden 2. Geautomatiseerde detectie (SIEM) — handmatige detectie is te traag 3. Vooraf opgestelde meldtemplates voor het NCSC 4. Geöefende medewerkers die weten wat ze moeten doen

Oefen het meldproces minimaal tweemaal per jaar met een tabletop-exercitie.

De Wbni vereist niet alleen dat je maatregelen neemt, maar ook dat je kunt aantonen dat je ze hebt genomen. Bewijs is essentieel.

Houd bij: • Resultaten van risicoanalyses en de opvolging ervan • Patchstatus van alle systemen met tijdstempels • Logbestanden en SIEM-alerts als bewijs van monitoring • Trainingsregistraties van security awareness programma’s • Testresultaten van back-up en herstel procedures • Leveranciersbeoordelingen en contractuele beveiligingseisen • Notulen van bestuurlijke reviews over informatiebeveiliging

Automatiseer het verzamelen van bewijs waar mogelijk. Een platform dat automatisch rapporten genereert met patchstatus, kwetsbaarheden en assetinventarisatie bespaart weken werk ten opzichte van handmatige Excel-rapportages.

Gatekeeper’s compliance module koppelt automatisch je technische maatregelen aan de Wbni-artikelen en genereert auditrapporten op aanvraag.