Waar moet je als gemeente-inkoper op letten bij ICT-inkopen

1. Cybersecurity- en weerbaarheidseisen
   • Gemeenten hebben belang bij een eenduidige set van cybersecurity-inkoopeisen. De VNG pleit voor één basisset aan inkoopeisen voor cyberveiligheid die geldt voor de hele overheid. iBestuur+2ICTMagazine.nl+2
   • Gebruik bij aanbestedingen de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). In sommige gemeentebestemmingen is expliciet bepaald dat deze voorwaarden gelden voor alle ICT-inkopen. Officiële Bekendmakingen+1
   • Besteed aandacht aan ketenrisico’s: breng leveranciers in kaart, vooral die cruciale ICT-diensten leveren. VNG
2. Toepassing van wet- en regelgeving
   • De NIS2-richtlijn (Cyberbeveiligingswet) legt gemeenten in toenemende mate verplichtingen op met betrekking tot zorgplicht, risicobeheer en incidentrapportage. Als inkoper moet je toetsen of leveranciers deze eisen kunnen nakomen. business.gov.nl
   • Zorg dat contracten en aanbestedingsdocumenten rekening houden met toekomstige (of bestaande) cyberwetgeving zoals NIS2: bijvoorbeeld via risicoclausules, testverplichtingen en rapportageverplichtingen.
3. Contract- en leveranciersmanagement
   • Het is verstandig contracten systematisch te beheren: welke leveranciers heb je, wat leveren zij, wat is hun risicoprofiel? VNG benoemt dat er bij gemeenten vaak te weinig structureel contract- en leveranciersmanagement is binnen ICT-inkoop. files.vng.events
   • Overweeg gezamenlijke aanbestedingen met andere gemeenten, vooral op het thema cyberweerbaarheid. De VNG organiseert bijvoorbeeld een collectieve aanbesteding voor cyberweerbaarheid. VNG
   • Bij belangrijke leveranciers moet je kunnen afdwingen dat er beveiligingstesten plaatsvinden en dat testresultaten gedeeld worden. Zo’n eis zie je bijvoorbeeld opgenomen bij beleidsbegrotingen van gemeentes. dijkenwaard.bestuurlijkeinformatie.nl
4. Governance binnen de gemeente
   • Zorg voor een goede portfoliotafel of governance-structuur waarin ICT-projecten en ICT-inkopen worden beoordeeld vanuit security, privacy en strategisch perspectief. In een besluit van een gemeente is opgenomen dat aanvragen ICT-inkoop eerst langs een portfoliotafel met o.a. CISO en privacy officer moeten. Officiële Bekendmakingen
   • Zorg dat in het inkoop- en aanbestedingsbeleid van de gemeente duidelijk staat dat rechtmatigheid, doelmatigheid EN cybersecuritybelangen meegewogen worden in alle ICT-aanbestedingen.
5. Risico van leveranciersconcentratie en afhankelijkheid
   • Door gezamenlijke inkoop kun je afhankelijkheid van grote ICT-leveranciers beperken, wat bijdraagt aan de digitale weerbaarheid van gemeenten. Security.nl
   • Vraag in aanbestedingen naar exit-scenario’s (bijvoorbeeld: wat gebeurt er met data en continuïteit als de leverancier wegvalt).
6. Compliance met normenkaders
   • Gebruik de BIO (Baseline Informatiebeveiliging Overheid) als normenkader: veel gemeenten eisen dat leveranciers voldoen aan de BIO. Digital Government
   • In aanbestedingen kun je compliance met BIO en andere relevante standaarden verplicht stellen in contracten en service level agreements.
7. Juridische en aanbestedingsaspecten
   • Volg de juridische kaders: de inkoop moet plaatsvinden binnen de aanbestedingswetgeving en de interne inkoopvoorwaarden van de gemeente (zoals GIBIT). Officiële Bekendmakingen
   • Gebruik handreikingen en richtlijnen: bijvoorbeeld de Handreiking Inkoop IV/ICT-diensten van de VNG geeft concrete bouwstenen voor inkooppraktijken binnen gemeenten. VNG
8. Samenwerking & schaalvoordelen
   • Overweeg samenwerking met andere gemeenten of regio’s bij ICT-aanbestedingen, zeker voor security-gerelateerde diensten. Dit kan schaalvoordelen opleveren én versterkt de onderhandelingspositie.
   • Deel kennis over leveranciersrisico’s, testresultaten en inkoopervaringen met andere gemeenten via netwerken zoals VNG.

Praktische actiepunten voor inkopers

• Stel in je RfP (Request for Proposal / aanbestedingsdocument) duidelijke cybersecurity-eisen (bijv. testen, rapportage, patchbeleid, kwetsbaarheidsmeldingen).
• Vraag referenties van leveranciers op het gebied van security / weerbaarheid.
• Werk samen met de CISO of securityverantwoordelijke binnen de gemeente om risico’s te prioriteren.
• Organiseer leveranciersmanagement: maak een overzicht van alle ICT-contracten en leveranciers, inclusief risicoprofiel.
• Neem exit-scenario’s op in contracten: wat gebeurt er met data, licenties, continuïteit als de leverancier stopt.