Gemeenten kunnen zich op verschillende manieren al voorbereiden op de implementatie van Europese wet -en regelgeving uit de Digital Decade. Om gemeenten hierbij te ondersteunen zijn er vanuit de VNG, vaak samen met gemeenten, verschillende stappenplannen, handreikingen, trainingen, formats en standaarden ontwikkeld. Hiermee wil de VNG de implementatie van Europese wet -en regelgeving ondersteunen en voorkomen dat iedere gemeente opnieuw het wiel moet uitvinden.
Beveiliging netwerk en informatiesystemen
Deze wetten moeten Europa beschermen tegen cyberdreigingen. Burgers en bedrijven moeten optimaal gebruiken kunnen maken van betrouwbare diensten en digitale instrumenten. De nieuwe strategie bevat concrete voorstellen voor regelgeving, investeringen en beleid.
De belangrijkste punten uit dit wetgevingscluster:
- Cyberbeveiliging is geen taak van de CISO alleen:
- Management en proceseigenaren moeten eigen verantwoordelijkheid nemen;
- Bestuursorganen krijgen extra taken:
- Goedkeuren maatregelen voor beheer van cyberbeveiligingsrisico’s;
- Toezien op de uitvoering;
- Kan aansprakelijk worden gesteld voor inbreuken;
- Risicobeheersing: leden van bestuursorganen moeten een opleiding volgen (En een soortgelijke opleiding aan werknemers aanbieden)
- Maatregelen voor het beheer van risico’s voor het beveiligen van netwerk- en informatiesystemen (voldoen aan BIO-vereisten);
- Recht op hulp bij incidenten en een meldplicht bij de Computer Security Incident Response Team (CSIRT) (om dreigingen snel te kunnen onderkennen en delen)
- Verbreding bevoegdheden autoriteiten;
- Continu beheren van informatiebeveiligingsrisico’s;
- Inrichten van een continu verbeterproces gericht op risicomanagement digitale veiligheid.
Volledige rapport
Lees het volledige rapport: Uitvoeringsanalyse regelgeving beveiliging netwerk- en informatiesystemen (pdf, 7,5 MB). In deze factsheet (pdf, 200 kB) leest u de belangrijkste bevindingen en aanbevelingen uit het rapport.
Welke acties kunnen gemeenten nu al uitvoeren?
Actie 1: BIOcompliancy
Het Ministerie van BZK is voornemens om de Baseline Informatiebeveiliging Overheid (BIO) wettelijk te gaan verankeren in een ministeriële regeling. Om beter voorbereid te zijn op de NIS2-richtlijn kunt u als gemeente alvast inzetten op het (nog) beter voldoen aan de BIO richtlijn. Vanuit de VNG is hiervoor implementatieondersteuning ontwikkeld.
Actie 2: Verantwoordelijkheden
De beveiliging van netwerk- en informatiesystemen is niet alleen het vraagstuk van de CISO. Vanuit de ambtelijke leiding (B&W, gemeentesecretaris, MT/CIO, etc.) moet er voldoende op het beveiligingsvraagstuk worden gestuurd. Daarnaast moeten proceseigenaren bewust worden gemaakt van hun aandeel in de beveiliging van netwerk – en informatiesystemen. Dit moet in functie -en rolomschrijvingen worden beschreven. Inventariseer alvast de rollen en structuur binnen uw gemeente.
Gebruik hiervoor de handreiking Functieprofielen informatiebeveiliging van de IBD. Aanvullend op deze handreiking staat in de BIO beschreven waar de onderdelen van de BIO op verschillende plaatsen in de organisatie worden toegepast op grond van verschillende verantwoordelijkheden en gezagsverhoudingen.
In de handreiking Information Security Management System (ISMS) staan de betrokken rollen beschreven. Voor ENSIA-coördinatoren en CISO’s is een gespreksgids beschikbaar. Dit document kun u gebruiken om met portefeuillehouders van het college van B&W het “goede” gesprek over informatiebeveiliging te voeren.
Beschikbare documenten en tools
- CISO-toolkit
- Handreiking risicomanagement door lijnmanagers
- Mindmap informatiebeveiliging voor bestuurders
- Checklist Digitale Veiligheid voor raadsleden
- Stappenplan Cyberoefendriehoek
- CER en NIS2-richtlijnen (NCTV)
- Inkoopvoorwaarden VNG
- GIBIT
- Raadgever Digitale veiligheid
- Het goed regelen van privacy via de AVG
Fora en kennisnetwerken
Benieuwd wat collega’s van andere gemeenten doen? Er zijn op dit onderwerp verschillende fora en kenniswerken te vinden. In deze communities kunt u kennis delen, vragen stellen en ervaringen met elkaar uitwisselen.