Er worden in toenemende mate eisen gesteld aan de informatiebeveiliging van de gemeente. Enerzijds vloeit dit voort uit nieuwe wetgeving, anderzijds uit toenemende dreiging en geopolitieke ontwikkelingen. Dit jaar ligt de focus op het inzichtelijk maken van waar we staan, compliancy en versterken wat we al hebben.
ENSIA audit 2024
De ENSIA 2024 (Eenduidige Normatiek Single Information Audit – terugkerende jaarlijkse audit/zelfevaluatie) heeft dit jaar geen bevindingen opgeleverd. Dat betekent dat er volgens de auditor geen zaken niet op orde waren. De inspanningen van afgelopen jaar om het proces te verbeteren hebben dus een positief resultaat opgeleverd.
Cyberbeveiligingswet (Cbw)/NIS2
In het licht van alle digitale ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). Deze wet gaat waarschijnlijk in het tweede kwartaal van 2026 van kracht. Het voldoen aan deze wetgeving vraagt veel van onze organisatie. Einde van dit jaar ontvangt u meer informatie over de aanpak. Vooruitlopend op deze ontwikkeling zijn we op een aantal onderwerpen al bezig met voorbereiding, uitwerking en realisatie. Voorbeelden hiervan zijn:
- Risico management en bedrijfscontinuïteit
De Cbw eist dat bestuurders actief betrokken worden bij het managen van informatiebeveiligingsrisico’s en de mogelijke maatregelen om de risico’s te beperken en/of te accepteren. Binnen onze gemeente wordt gewerkt om deze risico’s in kaart te brengen en afspraken te maken en vast te leggen. We inventariseren waar de organisatie de grootste risico’s loopt op een verstoring op bedrijfscontinuïteit. Daarbij wordt gekeken welke risico’s op welke manier kunnen worden afgedicht en welke alternatieven er beschikbaar zijn in het geval van (langdurige) uitval van IT systemen. Dit vraagt om een meerjarige aanpak. Na de zomer starten we met de meest kritische bedrijfsprocessen. - Aantoonbaar voldoen aan wetgeving
Om te voldoen aan de Cbw moeten organisaties kunnen aantonen dat er aan de vereisten wordt voldaan. De mate hiervan moet worden gemeten en gerapporteerd aan de bestuurders en de verantwoordelijken. Mede hierom zijn we druk bezig om het ENSIA proces verder te professionaliseren.
Awareness
Bewustwording blijft belangrijk. We proberen informatiebeveiliging op verschillende manieren onder de aandacht van onze medewerkers te brengen. Dit doen we door het geven van digitale- en fysieke trainingen, uitvoeren van diverse bewustwordingsactiviteiten en posterverspreiding. Medewerkers ontvangen iedere week bijvoorbeeld een kennisvraag per mail over informatiebeveiligingsvraagstukken. En in oktober bieden we een escape room aan die informatiebeveiliging op een laagdrempelige manier onder de aandacht brengt. Bestaand trainingsmateriaal wordt aangepast aan de Cbw eisen en wordt aangevuld met een specifieke training voor bestuurders zodat zij tijdig om de hoogte zijn van hun nieuwe verantwoordelijkheden.