Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel om de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control-cyclus. Zoals aangegeven in mijn eerdere blog over ENSIA, naar mijn mening een veelbelovende en uitdagende systematiek om de (forse) verantwoordingslast

bij gemeenten terug te dringen. Inmiddels is het 2017, het jaar waarin de landelijke uitrol van ENSIA gepland staat. Daarom een update van de stand van zaken: Waar komen we vandaan? Waar staan we nu? En waar gaan we naartoe?

Het startpunt

Als gemeente ben je verplicht jaarlijks audits uit te laten voeren. In de huidige situatie betekent dit dat je vanuit verschillende beleidsperspectieven verantwoording moet afleggen op het gebied van informatieveiligheid. De wijze van uitvraag en detaillering verschilt per audit, echter de onderwerpen overlappen elkaar deels. Dit neemt veel tijd in beslag. In november 2013, bij het aannemen van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ , hebben gemeenten daarom de wens uitgesproken dat de audit- en monitorlast op het gebied van informatieveiligheid moet worden beperkt. De VNG heeft het Ministerie van BZK gevraagd om te onderzoeken of dit mogelijk is. Naar aanleiding hiervan heeft BZK de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) gevraagd invulling te geven aan het project ENSIA. Sinds de beëindiging van de Taskforce BID in 2015 valt het project direct onder BZK.

ENSIA-pilot

De Taskforce BID heeft onderzoek verricht naar in hoeverre de BIG overlap heeft met de door beleidsdepartementen gevraagde verantwoording. Met als conclusie dat de BIG aantoonbaar overlap heeft. Aan de hand hiervan is een plan van aanpak uitgewerkt waarin het terugdringen van de audit- en verantwoordingsinspanningen centraal staat, bekend onder de werktitel; ENSIA . Uitgangspunt hierbij is het principe van Single Information Single Audit. Om te testen of de systematiek ook in de praktijk goed toepasbaar is, is er afgelopen jaar een pilot uitgezet onder zeven gemeenten. De pilot bestond uit het invullen van een op verantwoording gerichte vragenlijst aan de hand van tien thema’s uit de BIG én uit een gesprek om deze ingevulde vragenlijst te doorlopen. Op basis van de ervaringen van de pilot-gemeenten, is er eind 2016 een besluit genomen over het beschikbaar stellen van de vragenlijst en tool.

Waarborg de efficiëntie

De vragenlijst en (online) tool is een begin, maar alleen hiermee ben je er nog niet. Als je hier als gemeente ook echt efficiency uit wilt halen en de auditlast daadwerkelijk wilt verminderen, is het belangrijk om dit organisatorisch goed in te richten. Een ISMS- of GRC-tool kan hier hulp bij bieden. Meer weten over ISMS? Lees dan eens het ISMS-document van de IBD, met daarin onder andere aan welke eisen een ISMS-systeem moet voldoen, of lees de ervaringen van de gemeente Edam-Volendam, die aan de hand van ISMS informatiebeveiliging borgen in de organisatie. Dat een ISMS-systeem ook echt meerwaarde biedt voor gemeenten, heeft Aranea onlangs aangetoond op basis van een onderzoek. Interessant is de relatie/verhouding tussen de ENSIA tool en bestaande ISMS-GRC-tools. Tijdens de ISMS leveranciersbijeenkomst op 8 december is hier aandacht aan besteed.

Naast het aanschaffen van een ISMS-systeem, is het verstandig om binnen de gemeente iemand aan te stellen die het ENSIA-proces coördineert en bewaakt, dit kan bijvoorbeeld de CISO zijn. Ook dienen de portefeuillehouder informatieveiligheid en alle verantwoordelijken geïnformeerd en betrokken te worden. Benieuwd naar meer tips voor gemeenten ter voorbereiding op ENSIA? Neem dan zeker een kijkje op de pagina van de Digitale Overheid of lees de blog over ENSIA op WIIFM.

Waar gaan we naar toe?

Ondanks dat de systematiek nog in de kinderschoenen staat zijn er al organisaties die roepen ‘ENSIA’-proof te zijn. Opmerkelijk, aangezien de pilot net is afgerond. Tevens zullen zij nog iets langer moeten wachten voor ze kunnen testen of ze daadwerkelijk ‘ENSIA’-proof zijn, de uitroldatum is namelijk uitgesteld en zal dus niet op 1 april 2017 plaatsvinden. Daarnaast is me ook niet duidelijk wat er inhoudelijk met deze uitspraak wordt bedoeld.

Wat kunt u wel verwachten? Als gemeente ontvangt u in juli de uitnodiging om de zelfevaluatie Informatieveiligheid uit te voeren. Er zijn twee peildata voor het aanleveren van deze vragenlijsten. Zo dienen vóór 1 oktober 2017 de zelfevaluatie vragenlijsten BRP en PUN aangeleverd te worden, en op 31 december 2017 is de deadline voor de vragenlijst van BAG, BGT, DigiD en Suwi. Voor 2018 is het de ambitie om de peildatum voor alle informatiestelsels te stellen op 31 december. En dat is nog niet alles. Naast de zelfevaluatie vragenlijst moet er ook een Collegeverklaring Informatieveiligheid voor in het gemeentelijk jaarverslag en een assurance rapport IT-auditor (over een nog nader vast te stellen scope) worden aangeleverd. Inderdaad, sommige zaken zijn nog niet helemaal helder.

Wrap up

De voorwaarde die gemeenten hebben uitgesproken tijdens het aannemen van de Resolutie is dat de audit- en monitorlast wordt beperkt. Eindstand 2016 is dat in vergelijking met de huidige situatie, het aantal vragen over informatieveiligheid met 15% is gereduceerd. Kunnen we daarmee daadwerkelijk zeggen dat er voldoende antwoord is gegeven op de wens van gemeenten? Of laat het eigenlijk nog wat te wensen over?

Kortom; of er echt sprake is van integrale verantwoording is nog maar de vraag. Er zal allicht nog wat tijd overheen gaan voordat die wens vervuld is. Desalniettemin hebben we met ENSIA een belangrijke stap voorwaarts gezet en verzekert het een centrale positie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Wat denk jij van het project ENSIA? Hebben we belangrijke informatie gemist in deze update? Laat het ons weten!