In een tijd van toenemende cyberaanvallen en geopolitieke onrust blijkt digitale veiligheid bij Spaanse gemeenten opvallend laag op de agenda te staan. Slechts 41 van de meer dan 8.000 gemeenten voldoen aan de verplichte cybersecuritywet voor gegevensbescherming.

Daarmee negeert 99% van de Spaanse gemeenten het Esquema Nacional de Seguridad. Dit nationale kader is opgesteld om gevoelige data van overheidsinstanties te beschermen tegen cyberaanvallen.

Ernstige tekortkoming in digitale veiligheid

Alle overheidsinstellingen in Spanje zijn wettelijk verplicht een actueel certificaat te hebben dat aantoont dat ze voldoen aan het Esquema Nacional de Seguridad (ENS). Dit certificaat moet elke twee jaar worden vernieuwd en geverifieerd. Toch hebben van de meer dan 8.000 Spaanse gemeenten slechts 41 zo’n geldig certificaat.

Volgens de Catalaanse advocaat en IT-auditor Josep Jover komt dit deels doordat cybersecurity geen prioriteit is voor lokale overheden. “Men ziet het niet als essentieel, terwijl het juist de basis vormt van betrouwbare digitale processen,” zegt hij tegen CadenaSER. Jover benadrukt dat veel gemeenten pas in actie komen ná een incident: “Pas als er iets misgaat, zoals een aanval of een datalek, ontstaat er politieke druk om te investeren. Maar dan is het meestal al te laat.”

Het implementeren van het ENS zou gemeenten tussen de 2 en 3 miljoen euro kosten, exclusief onderhoudskosten. Veel lokale besturen verkiezen daarom andere investeringen boven digitale veiligheid.

Grote steden ook in overtreding

Opvallend is dat zelfs grotere gemeenten, met ruimere budgetten, massaal in gebreke blijven. Zo voldoen steden als Madrid, Barcelona en Valencia niet aan de wetgeving. Van de 52 provinciehoofdsteden in Spanje hebben slechts acht steden — waaronder Granada, Pamplona en San Sebastián — hun ENS-certificaat op orde.

Geen sancties, maar wel dreiging

Tot nu toe blijft het uitblijven van naleving onbestraft. Er is geen sanctiemechanisme actief en er zijn ook geen boetes uitgedeeld. Dat zou binnenkort kunnen veranderen. De Europese Unie heeft Spanje inmiddels gewaarschuwd dat het niet naleven van de digitale veiligheidsnormen kan leiden tot het intrekken van Europese subsidies.

De waarschuwing van de EU komt in een tijd van geopolitieke spanningen en toenemende cyberdreigingen. Gemeenten die hun digitale infrastructuur niet op orde hebben, vormen niet alleen een risico voor zichzelf, maar ook voor burgers en de nationale veiligheid.

Wat verwacht het Esquema Nacional de Seguridad precies?

Het ENS stelt concrete eisen aan hoe gemeenten hun digitale veiligheid moeten organiseren. De zes kernmaatregelen zijn als volgt:

1. Informatiebeveiligingsbeleid – Gemeenten moeten een formeel beleid opstellen dat hun inzet voor gegevensbescherming beschrijft.
2. Risicoanalyse en -beheer – Lokale overheden dienen periodiek de digitale risico’s van hun systemen te analyseren.
3. Authenticatie en toegangscontrole – Het gebruik van tweefactorauthenticatie voor toegang tot gevoelige systemen is vereist.
4. Beheer van beveiligingsincidenten – Er moeten duidelijke protocollen zijn voor het omgaan met cyberincidenten.
5. Regelmatige audits en certificering – Systemen moeten worden getoetst door erkende externe auditors.
6. Gebruik van gecertificeerde producten – Het ENS adviseert het gebruik van technologie uit een officiële catalogus.

Spanje verslaat Israël op het Wereldkampioenschap Cybersecurity