Geen aparte vragenlijsten van 342 gemeenten, maar één document waar gemeenten, de Informatiebeveiligingsdienst en leveranciers samen aan werken. Dat vind ik een hele mooie invulling van de ketenverantwoordelijkheid voor informatiebeveiliging, die zo belangrijk is in de NIS2-richtlijn.
Voldoen aan NIS2 is meer dan vinkjes zetten, stelde ik eerder in een blog. Alleen het hebben van bijvoorbeeld ISO-certificaten is niet meer voldoende. Om te voldoen aan de richtlijn, voluit de Network and Information Security Directive, moet je weten welke risico’s je loopt en moet je maatregelen nemen die je beschermen tegen deze risico’s. Daarvoor is het noodzakelijk een slag dieper te kijken en te weten hoe de informatiebeveiliging daadwerkelijk geregeld is in de applicaties die je gebruikt.
Van 342 naar 1 vragenlijst
Het omzetten van de NIS2-richtlijn in de Nederlandse Cyberbeveiligingswet is vertraagd, maar gemeenten en leveranciers zijn druk bezig om straks compliant te zijn. Wij merkten dat gemeenten ons allemaal afzonderlijk vragenlijsten toestuurden over hoe wij de beveiliging van onze producten hebben geregeld. De Informatiebeveiligingsdienst (IBD) zag dat ook en besloot met gemeenten, via de Gebruikersverenigingen, en leveranciers als Centric een pilot te starten om dit te bundelen. Die pilot heet Samen Controleren.
We zijn nu met elkaar bezig om dit concreet in te vullen. Er is een beheergroep gevormd die zich om te beginnen buigt over de applicaties voor Burgerzaken. Privacy officers, security officers, CISO’s en de IBD hebben een vragenlijst opgesteld waarmee wij aan de slag zijn gegaan. Onze antwoorden op deze eerste versie hebben we vervolgens met hen besproken, op ons kantoor in Gouda. Dat was leerzaam: wij leerden waarom zij bepaalde vragen stellen, zij zagen hoe wij beheersmaatregelen in de praktijk toepassen.
Gevoelige informatie delen
De komende tijd delen we documenten waaruit blijkt dat we bepaalde zaken hebben geregeld. Wanneer deze pilot slaagt, dan is het de bedoeling dat we deze werkwijze voor al onze applicaties gebruiken. Gemeenten formuleren hun vragen en de beheergroep gaat daarmee aan de slag. Uiteindelijk levert dat per applicatie een document op waarin is omschreven hoe de betreffende applicatie is gecontroleerd. Gemeenten kunnen dit dan gebruiken in hun verantwoording.
We zijn blij met deze samenwerking, want het scheelt ons en gemeenten veel tijd. Het idee is dat de beheergroep jaarlijks bij leveranciers langskomt om te controleren of de informatieveiligheid nog steeds geborgd is. Dit wordt onder andere gecontroleerd door inzage te geven in de rapportages van pentesten en resultaten van audits.
Samen onze digitale weerbaarheid versterken
De bedoeling van Samen Controleren is dat we een governance krijgen met hetzelfde effect als de Standaard Verwerkersovereenkomst. Een werkwijze en document waar alle gemeenten mee werken, zodat wij niet meer 342 aparte vragenlijsten hoeven in te vullen. Dat scheelt ons en gemeenten veel tijd. Nog belangrijker vind ik dat deze manier van werken recht doet aan het feit dat alle partijen in de keten samen verantwoordelijk zijn voor informatiebeveiliging. En dat ze die verantwoordelijkheid dus samen nemen.
Ik vind het mooi om te zien dat we met dit initiatief letterlijk samen de mouwen opstropen en aan de slag gaan. Dat geeft mij vertrouwen dat het goed komt met het invullen van de ketenverantwoordelijkheid – en daarmee met het samen versterken van onze digitale weerbaarheid.