Informatiebeveiliging meer zaak van bestuurder

Gemeenten, Rijk, waterschappen en provincies gaan over op één uniform normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). Voor gemeenten is 2019 voorzien als voorbereidingsjaar. Op 1 januari 2020 is de BIO de officiële richtlijn die alle gemeenten volgen.

Informatieveiligheid is een randvoorwaarde voor een professionele gemeente. We werken steeds meer samen in een vernetwerkte overheidsomgeving. Daarbij moeten we impliciet kunnen vertrouwen op een adequaat beveiligingsniveau van ketenpartners.

Risicomanagement centraal

De BIO betekent een verandering voor gemeenten. Ten opzichte van de huidige Baseline Informatieveiligheid Gemeenten (BIG) worden bijna 200 maatregelen geschrapt. Gemeenten krijgen zo meer ruimte om voor hen relevante maatregelen te treffen. De maatregelen uit de BIG die in de BIO nog wel worden genoemd gelden als verplicht voor alle overheden.

De BIO positioneert de bestuurder en het management sterker dan voorheen in de rol waarin hij of zij risico-gebaseerd stuurt op het gebied van informatieveiligheid. Zij zullen hierover met de betrokken Chief Information Security Officers afspraken moeten maken. Ter ondersteuning daarbij zijn ‘De 10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld. Ze dienen als handvatten voor dat gesprek.

De 10 bestuurlijke principes voor informatiebeveiliging 

  1.  Bestuurders bevorderen een veilige cultuur
  2.  Informatiebeveiliging is van iedereen
  3.  Informatiebeveiliging is risicomanagement
  4.  Risicomanagement is onderdeel van de besluitvorming
  5.  Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking
  6.  Informatiebeveiliging is een proces
  7.  Informatiebeveiliging kost geld
  8.  Onzekerheid dient te worden ingecalculeerd
  9. Verbetering komt voort uit leren en ervaring
  10.  Het bestuur controleert en evalueert

Standaardverklaring

In de Buitengewone Algemene Ledenvergadering op 30 november 2018 hebben gemeenten ingestemd met het proces van standaardverklaring. De BIO is de eerste standaard waarover het College van Dienstverleningszaken (CvD) positief advies heeft afgegeven aan het VNG Bestuur. Het bestuur heeft hier positief op gereageerd en de BIO daarmee verbindend verklaard voor gemeenten per 1 januari 2020. De baseline is interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO).

Ondersteuning IBD

Voor de jaren 2018 en 2019 verantwoorden gemeenten zich nog over de BIG. Voor het jaar 2020 zal de verantwoording zijn aangepast aan de BIO. Voor de inrichting van informatiebeveiligingsmaatregelen kunnen gemeenten gebruikmaken van de ondersteuningsproducten van de IBD.

  • De bestaande producten worden momenteel aangepast aan de BIO en komen in het eerste halfjaar van 2019 beschikbaar.
  • Andere ondersteuningsproducten, zoals een quickscan, worden voor de gezamenlijke overheidslagen onder regie van het Rijk ontwikkeld en door de IBD toepasbaar gemaakt voor gemeenten.
  • Aanvullend ontwikkelt de VNG een ondersteuningsprogramma gericht op het management en het bestuur van gemeenten.

Dreigingsbeeld

Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020 duidt de belangrijkste risicofactoren. We adviseren bestuurders hierover met de CISO in gesprek te gaan en de passende acties te starten.

Meer informatie

We verzonden 7 januari 2019 gemeenten onderstaande ledenbrief en bijlagen: