Een cyberaanval op een gemeente is niet zomaar een IT-incident. Het betekent dat het gemeentehuis geen akten van de burgerlijke stand meer kan afgeven, dat de salarisuitbetaling vastloopt, dat de dienst ruimtelijke ordening stilvalt, dat ambtenaren gedwongen worden terug te vallen op papieren documenten, en dat burgers hun geduld verliezen… en hun vertrouwen. Binnen enkele uren verandert de digitale technologie van een onzichtbaar hulpmiddel in het breekpunt van de openbare dienstverlening. Waarom moeten gekozen vertegenwoordigers hier aandacht aan besteden? En hoe kan de digitale veerkracht worden versterkt? Antwoorden van de experts van Cyberwings Academy.
Lange tijd werd cyberveiligheid beschouwd als een zaak voor specialisten: het was het domein van de IT-verantwoordelijke of de veiligheidsverantwoordelijke – voor zover die er al was – of een begrotingspost die moeilijk te verdedigen was in de gemeenteraad. Die tijd is voorbij. Voor lokale overheden is cyberbeveiliging voortaan een kwestie van bestuur, bedrijfscontinuïteit en verantwoordelijkheid van de gekozen vertegenwoordigers.
Gemeenten, intergemeentelijke samenwerkingsverbanden, departementen, regio’s of lokale overheidsinstellingen: bij al deze instanties kunnen de diensten worden vertraagd, gegevens in gevaar komen of de communicatie worden gekaapt.
De vraag die elke gemeente nu moet beantwoorden, is simpel: kunt u morgenochtend gewoon doorwerken als uw informatiesysteem niet beschikbaar is of als een van uw digitale dienstverleners u in de steek laat en uw toegang blokkeert?
Een cyberrisico dat je letterlijk lamlegt…
De cijfers van het ANSSI voor 2024 bevestigen dat dit fenomeen daadwerkelijk bestaat: het agentschap heeft alleen al bij de lokale overheden 218 cyberincidenten afgehandeld, wat neerkomt op een gemiddelde van 18 per maand.
Deze incidenten vertegenwoordigen 14 % van alle incidenten die op nationaal niveau zijn afgehandeld, waarvan 15 % als «zeer kritiek» zijn aangemerkt. De dreiging is een dagelijkse realiteit die de continuïteit van de openbare diensten, het vertrouwen van de burgers en de directe verantwoordelijkheid van de gekozen vertegenwoordigers op het spel zet.
Volgens de barometer 2024 van Cybermalveillance.gouv.fr heeft één op de tien lokale overheden de afgelopen twaalf maanden te maken gehad met een cyberaanval: in 37 % van de gevallen leidde dit tot een onderbreking van openbare diensten, en in 24 % van de gevallen tot diefstal of vernietiging van gegevens.
Achter deze cijfers gaan heel concrete situaties schuil.
In La Rochelle heeft een cyberaanval ervoor gezorgd dat de ondergrondse parkeergarages midden in de zomer niet meer konden worden gebruikt, de burgerlijke stand lamgelegd werd, de personeelsafdeling geblokkeerd raakte en de begrafenis van overledenen op de begraafplaatsen van de stad een week lang niet kon plaatsvinden. De gemeente heeft vier weken lang in noodmodus gewerkt, dat wil zeggen «met pen en papier».
In Angers moesten de ambtenaren de papieren telefoonboeken en faxapparaten weer uit de opslag halen. Op 31 december 2024 zorgde een denial-of-service-aanval, waarvoor de pro-Russische groep NoName057(16) de verantwoordelijkheid opeiste, ervoor dat de websites van verschillende steden, waaronder Nice, Pau en Marseille, tegelijkertijd offline gingen.
Deze voorbeelden laten één eenvoudig ding zien: een cyberaanval kan leiden tot een verstoring van de openbare dienstverlening.
Het treft ambtenaren, burgers, dienstverleners en gekozen vertegenwoordigers. Het brengt de dienstverlening in de war, stelt persoonsgegevens bloot, ondermijnt het vertrouwen op lokaal niveau en dwingt de gemeente om publiekelijk te reageren, soms met spoed, vaak onder druk.
Een verantwoordelijkheid die niet langer kan worden gedelegeerd
Een cyberaanval valt onder de verantwoordelijkheid van de gekozen vertegenwoordiger, net zoals een waterstoring of een gesloten school.
Het beheer van dit risico moet op het hoogste niveau van het regionale bestuur worden gevoerd, in de beraadslagingen worden opgenomen, in de mandaten worden begroot en net als structurele investeringsprojecten in de mandaatplannen worden geïntegreerd.
Het cyberrisico kan niet langer uitsluitend aan de IT-afdeling worden overgelaten. Natuurlijk spelen de technische teams een centrale rol. Maar zij kunnen niet in hun eentje beslissingen nemen die onder de bevoegdheid van het lokale bestuur vallen: budgettaire afwegingen, de keuze van dienstverleners, contractuele eisen, crisisorganisatie, het prioriteren van essentiële diensten en communicatie met de burgers.
De verantwoordelijkheid van een gekozen vertegenwoordiger is niet die van een technicus. Het is die van een beleidsmaker.
Het gaat er niet om dat een burgemeester, een voorzitter van een intergemeentelijk samenwerkingsverband of een vicevoorzitter alle fijne kneepjes van versleuteling, een firewall of een kwetsbaarheid in software moet begrijpen. Het gaat erom hem in staat te stellen de juiste vragen te stellen:
- Welke diensten moeten absoluut blijven functioneren?
- Waar bevinden onze gevoelige gegevens zich?
- Wie heeft toegang tot onze systemen?
- Worden onze back-ups getest?
- Welke dienstverleners zijn van cruciaal belang?
- Wat doen we als onze e-mail uitvalt?
- Hoe lang kunnen we het volhouden zonder informatiesysteem?
Deze kwesties zijn in de eerste plaats politiek van aard, en pas in de tweede plaats technisch.
Oefenen, bijscholen, bijsturen, anticiperen op de crisis
Veerkracht ontstaat niet zomaar. Je moet je erop voorbereiden en het op de proef stellen.
De Olympische Spelen van Parijs 2024 hebben dit aangetoond: ondanks 12 keer zoveel cyberaanvallen als tijdens de Spelen van Tokio heeft geen enkel ernstig incident het verloop ervan verstoord. Dit resultaat is te danken aan maandenlange simulatieoefeningen, continuïteitstests, het in kaart brengen van kwetsbaarheden en het trainen van teams in crisisbeheer.
Overheden kunnen op hun eigen schaal inspiratie putten uit deze aanpak. Een crisisoefening hoeft niet spectaculair te zijn om nuttig te zijn. Ze kan eenvoudig beginnen: het simuleren van het uitvallen van de e-mail, het verlies van toegang tot bedrijfssoftware, een aanval op een dienstverlener of de verspreiding van een vals persbericht van de gemeente.
Het doel is niet om de volgende aanval precies te voorspellen. Het is om ervoor te zorgen dat iedereen weet wat hij of zij moet doen als de digitale systemen niet meer werken.
AI versnelt de dreiging
Generatieve kunstmatige intelligentie verandert het tempo van de dreiging door de geloofwaardigheid van phishingpogingen te vergroten, op grote schaal kwaadaardige websites te genereren die er legitiem uitzien en het uitvoeren van aanvallen binnen een bepaald gebied te vergemakkelijken. Volgens een studie die in februari 2026 door het ANSSI werd gepubliceerd, hebben meer dan 40 staatsgerelateerde aanvalsgroepen tussen 2023 en 2024 AI ingezet om hun cyberaanvallen te perfectioneren. Het is daarom van essentieel belang om alle teams te trainen in het omgaan met deze bedreigingen.
Maar de urgentie betreft niet alleen phishing. Het gaat tegenwoordig vooral om het verhelpen van softwarefouten. AI versnelt de geautomatiseerde opsporing van kwetsbaarheden die kunnen worden misbruikt.
In juni 2025 heeft het XBOW-systeem zonder enige menselijke tussenkomst honderden meldingen van kritieke kwetsbaarheden ingediend bij bug-bounty-programma’s. Door deze versnelling is de termijn voor het verhelpen van kwetsbaarheden – die bij overheden vaak in weken of maanden wordt gemeten – onhoudbaar geworden.
De prioriteit is duidelijk: de implementatiecycli van patches drastisch verkorten, teams opleiden in het gebruik van beveiligde ontwikkelingstools, regelmatig oefenen met scenario’s waarin kwetsbaarheden worden uitgebuit en crisisverantwoordelijken aanwijzen vóór het incident zich voordoet. Tijdens het incident is het te laat om uit te zoeken wie de beslissingen neemt.
Hybride oorlog: desinformatie richt zich ook op regio’s
De digitale dreiging omvat voortaan ook een informatieaspect dat door cyberbeveiligingsdeskundigen als een volwaardige vector wordt beschouwd.
Een vals account van een gekozen vertegenwoordiger, een vals persbericht van het gemeentehuis, een website die die van een gemeente nabootst, een gerucht over de waterkwaliteit, een vals bericht over de sluiting van een school, een gemanipuleerde video of een alarmerend bericht dat op het juiste moment wordt verspreid, kunnen al voldoende zijn om een lokale crisis te veroorzaken.
Viginum, de dienst voor toezicht en bescherming tegen buitenlandse digitale inmenging, heeft in 2024 en 2025 een structurele toename vastgesteld van de informatiebedreiging gericht tegen Frankrijk: pro-Russische campagnes die misbruik maakten van de oorlog in Oekraïne, destabiliserende operaties tijdens de rellen in Nieuw-Caledonië, pogingen om het publieke debat te manipuleren tijdens de Europese verkiezingen en de Olympische Spelen. Het rapport «Portal Kombat» bracht een gecoördineerd netwerk van desinformatie aan het licht dat gericht was op Franse media en instellingen.
De ANSSI heeft in mei 2023 tientallen websites van Franse gemeentebesturen geïdentificeerd die waren gemanipuleerd met pro-Russische boodschappen. Deze aanvallen, die technisch niet erg geavanceerd zijn, ondermijnen rechtstreeks het vertrouwen van de burgers in hun lokale instellingen.
Het risico bereikt zijn hoogtepunt tijdens belangrijke verkiezingen of grootschalige sport- en culturele evenementen. Informatieve waakzaamheid moet net als de continuïteit van de IT-systemen worden geïntegreerd in het regionale crisisbeheersingssysteem.
Digitale verslaving wordt een risico
Overheden zijn steeds meer afhankelijk van digitale hulpmiddelen waarover ze niet altijd de volledige controle hebben : software voor de burgerlijke stand, salarisadministratie, stedenbouw, maatschappelijke dienstverlening, e-mail, samenwerkingshulpmiddelen, cloudhosting, telefonie, archivering, cyberbeveiliging, kunstmatige intelligentie.
Deze afhankelijkheid is op zich niet per se een probleem. Het wordt pas een probleem wanneer ze niet bekend is, niet gemeten wordt, niet contractueel vastgelegd is en niet omkeerbaar is.
Een dienstverlener kan het slachtoffer worden van een cyberaanval. Een softwareontwikkelaar kan zijn commerciële voorwaarden wijzigen. Een dienst kan worden opgeschort. Gegevens kunnen worden gehost binnen een onduidelijk juridisch kader. Een oplossing kan onmisbaar worden zonder dat er een alternatief is gevonden.
Overheden onderschatten vaak een feit: een buitenlandse digitale dienst kan om economische, regelgevende of geopolitieke redenen onbeschikbaar worden. Dit risico is niet langer louter theoretisch.
Het nieuws heeft daar zojuist een harde les in gegeven. Op 12 juni 2026 heeft Anthropic (een van de wereldleiders op het gebied van kunstmatige intelligentie) de toegang tot zijn meest geavanceerde modellen voor alle niet-Amerikaanse gebruikers opgeschort, op bevel van de regering-Trump in naam van de «nationale veiligheid». Franse organisaties die deze tools in hun cyberbeveiligings- of analyseworkflows hadden geïntegreerd, werden van de ene op de andere dag van deze mogelijkheden beroofd, zonder dat ze daar vooraf op hadden geanticipeerd en geloofwaardige Europese of open-sourcealternatieven hadden geïdentificeerd.
Een parlementaire onderzoekscommissie die in januari 2026 is ingesteld en wordt voorgezeten door parlementslid Philippe Latombe, houdt zich juist bezig met het in kaart brengen van dit risico. Haar taak bestaat er met name in te beoordelen in hoeverre de Franse overheidsinstanties afhankelijk zijn van digitale oplossingen van buiten Europa, de daaruit voortvloeiende kwetsbaarheden in kaart te brengen en alternatieven te onderzoeken. De conclusies worden in de zomer van 2026 verwacht.
Voor lokale overheden bestaat de eerste reactie op dit risico uit hun digitale verslavingen in kaart brengen.
Elke gemeente moet vier eenvoudige vragen kunnen beantwoorden:
- Welke bedrijfssoftware wordt buiten Europa gehost?
- Welke kritieke processen zijn afhankelijk van één enkele dienstverlener zonder alternatief?
- Welke gevoelige gegevens worden verwerkt via servers die onder extraterritoriale wetgeving vallen, zoals de Amerikaanse Cloud Act?
- Welke licentieovereenkomsten binden de gemeente zonder terugdraaibaarheidsclausule?
Deze inventarisatie vormt de basis voor een strategisch beheer van digitale risico’s en het uitgangspunt voor een plan voor geleidelijke zelfstandigheid.
Het is ook een budgettaire kwestie: te veel lokale overheden financieren jaar na jaar terugkerende licenties aan niet-Europese uitgevers, zonder te profiteren van duurzame activa. Het verminderen van deze afhankelijkheden betekent dat de overheidsuitgaven geleidelijk moeten worden geheroriënteerd naar duurzame investeringen (eigen apparatuur, interne expertise en opleiding van teams, gekwalificeerde oplossingen), in plaats van naar een automatische verlenging van contracten die de operationele soevereiniteit van het grondgebied ondermijnen.
Opleiden om te besturen
Opleiding is de schakel die al deze onderwerpen met elkaar verbindt: cyberveiligheid, bedrijfscontinuïteit, crisisbeheersing, naleving van regelgeving, digitale soevereiniteit en vertrouwen van het publiek.
Het opleiden van gekozen vertegenwoordigers betekent niet dat ze technische experts moeten worden. Het betekent dat ze de middelen krijgen om de risico’s te begrijpen, de juiste vragen te stellen, over de begrotingen te beslissen, de crisis te beheersen en garanties van hun dienstverleners te eisen.
Door de algemeen directeuren en lokale leidinggevenden op te leiden, stellen we hen in staat om cyberbeveiliging te integreren in de dagelijkse organisatie van de diensten: bedrijfscontinuïteit, procedures, verantwoordelijkheden, communicatie, gegevensbescherming en incidentbeheer.
Door technische teams op te leiden, versterken we hun vermogen om te anticiperen, problemen op te sporen, te verhelpen en erop te reageren.
Door medewerkers ten slotte te trainen via bewustmakingscursussen over cyberveiligheid, wordt de gemeenschap dagelijks minder kwetsbaar voor menselijke fouten, phishingpogingen en risicovol digitaal gedrag.
ORSYS en Cyberwings bieden gespecialiseerde opleidingen aan voor beleidsmakers bij de overheid, lokale bestuurders en technische teams: bewustmaking van gekozen vertegenwoordigers over cyberrisico’s, crisismanagement en simulatieoefeningen, naleving van NIS 2 en de AVG, in kaart brengen van digitale afhankelijkheden, strategie voor regionale veerkracht, beveiliging van dienstverleners en voorbereiding op het functioneren in noodmodus.
Een gemeente zal nooit volledig immuun zijn. Maar ze kan zich wel voorbereiden. Ze kan weten wat ze moet doen, wie ze moet inschakelen, hoe ze moet communiceren en hoe ze haar inwoners kan blijven bedienen wanneer de digitale infrastructuur hapert.
Dat is voortaan de digitale verantwoordelijkheid van gekozen vertegenwoordigers.
