2min Security

VNG: Gemeenten willen eenduidige inkoopeisen cybersecurity

VNG: Gemeenten willen eenduidige inkoopeisen cybersecurity

De VNG (Vereniging Nederlandse Gemeenten) wil dat ministeries beter overleggen over alle inkoopeisen voor hard- en software. De regels zijn niet eenduidig, en dus weten gemeenten vaak niet waar ze aan toe zijn.

De VNG stuurde een brandbrief aan de woordvoerders Digitale Zaken in aanloop naar het debat over informatiebeveiliging bij de overheid. Dat vindt donderdag 12 september plaats. Gemeenten willen duidelijke regels voor de aanschaf van zowel hard- als software en duidelijke inkoopeisen die gelden voor de hele overheid.

Gemeenten zien zeker mogelijkheden om gebruik van risicovolle producten of diensten te beperken. Maar dan wel graag  ‘aan de voorkant van het inkoop- en aanbestedingsproces’, en bovendien in samenwerking met leveranciers. Volgens de brief van de VNG zitten gemeenten wat betreft aanschaf van ICT-producten vaak met de handen in het haar wat betreft het eisenpakket. De eisen sluiten vaak niet op elkaar aan, waardoor gemeenten niet weten waar ze aan toe zijn.

Inkoopeisen verschillen vaak

Als voorbeeld noemen ze de inkoopeisen cybersecurity overheid (ICO), van de staatssecretaris voor digitalisering. Dit eisenpakket wordt waarschijnlijk verplicht als de nieuwe Cyberbeveiligingswet van kracht wordt. Tegelijk is er de onlangs gepubliceerde toolbox veilig inkopen van de NCTV (Nationaal Coördinator Terrorismebestrijding), die volgens de VNG teveel tot wet is verheven. En de minister van Economische Zaken stelt namens de EU weer eigen eisen aan leveranciers met de Cyber Resilience Act in de hand. Verwarring alom dus.

De gemeenten willen graag dat de eisen aan producten of diensten uit landen met een offensieve cyberagenda eenduidig worden. Zo weten gemeenten snel met wie ze wel en niet in zee kunnen. Dan is ook duidelijk hoe je in het aanbestedingsproces meteen heldere eisen kunt neerleggen.

“Op dit moment is er geen interbestuurlijke governance en proces ingericht voor het opstellen, bijstellen en vaststellen van één basisset aan ICO-inkoopeisen cybersecurity waar de hele overheid aan zou moeten voldoen”, valt in de brief te lezen. “Ook is er geen samenhang in de aanpak met andere vakministers.”

Tip: