Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. In mijn eerste blog over ENSIA (mei 2015) heb ik aangegeven dat ik ENSIA zie als een (erg) hoopgevende denkrichting. In de daaropvolgende blog (januari 2017), waarin ik schrijf over de stand van zaken, vraag ik me al af of er wel echt sprake is van integrale verantwoording.Nu, een aantal maanden later, werp ik wederom een (kritische) blik op ENSIA. We weten inmiddels wat het gemeenten moet gaan opleveren, maar wat brengt ENSIA helaas (nog) niet?

Volwassen horizontale verantwoording

Allereerst het belangrijkste punt, namelijk een volwassen horizontale verantwoording. Als je het mij vraagt blijft deze wel erg bescheiden. Zo is er geen format voor verantwoording in het jaarverslag opgenomen en geen (verplichte) structuur voor separate verantwoording vanuit het college naar de raad (bijvoorbeeld middels een collegeverklaring). Kortom: je bent hier als gemeente dus helemaal vrij in. Als je niet oppast, is de aandacht voor informatiebeveiliging in het jaarverslag niet meer dan één algemene alinea, te vinden onder het hoofdstuk bedrijfsvoering. De tijd en aandacht die aan de verantwoording over informatiebeveiliging besteed wordt, is dus erg afhankelijk van de gedrevenheid van de CISO en/of portefeuillehouder, en van raadsleden die de juiste vragen stellen. En dat lijkt me nou net niet de bedoeling, toch?

Het is maar zeer de vraag in hoeverre de gemeenteraad haar rol als interne toezichthouder zo gaat, kan en/of wil nemen. Waarom kan de assurance verklaring en de collegeverklaring niet ook standaard naar de gemeenteraad? Op die manier kun je wel een dialoog op gang brengen. Het feit dat ENSIA geen punten toekent in de zelfevaluatie vragenlijst, maakt het ook lastig de uitkomsten van de zelfevaluatie zelf als vehikel te nemen voor een ‘goed gesprek’ met de gemeenteraad. De alinea in het jaarverslag kan zo dermate abstract en ‘high level’ zijn, dat de raad hierdoor niet bepaald getriggerd wordt haar rol als interne toezichthouder te pakken. En dat is een gemiste kans!

Opzet, bestaan én werking

Ten tweede blijft het hoofdzakelijk een papieren exercitie, terwijl veel CISO’s naar mijn idee van mening zijn dat auditen op werking eigenlijk pas écht iets zegt over de mate van informatiebeveiliging. Dit kwam eerder ter sprake in de blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’. Maar we weten gevoelsmatig ook dat heel veel gemeenten de audit op dit moment niet doorstaan wanneer de werking ook wordt getoetst. Zoals ik in mijn vorige blog betoogde, zijn veel gemeenten immers nog volop bezig met de implementatie van de BIG. In het format collegeverklaring staat dan ook in alle eerlijkheid expliciet benoemd dat het niet om de werking van de maatregelen gaat.

Enige nuancering is wel op z’n plaats. ENSIA bundelt immers de bestaande verantwoordingslijnen. Maar indien deze niet op werking toetsen, zal dat in ENSIA gebundeld ook (nog) niet het geval zijn. ENSIA was echter een mooie ‘kans’ om het toetsen van werking ook op te nemen.

Substantiële afname in auditlast

En dan is er nog het doel van ENSIA, namelijk het verminderen van de auditlast. Maar is er wel sprake van een substantiële afname? Dit is (nog) niet het geval mijns inziens. Het totaal aantal vragen is met 15% teruggebracht, als je alle vragen beantwoordt. Dit is dus vooralsnog een beperkte netto ‘winst’, ondanks de uitgesproken wens in de Resolutie.

Zo is de Suwinet-aansluiting gerechtsdeurwaarders en Burgerzaken niet in ENSIA opgenomen. Indien dit van toepassing is, is dit een separate audit. Ook een nieuwe DigiD aansluiting krijgt een aparte audit. Wat positief is, is dat er is voorzien in een groeipad. Wat inhoudt dat de scope van de IT audit breder zal worden. Een goede zaak dus!

Eenduidig tijdspad

Tot slot, ontbreekt vooralsnog een eenduidig tijdspad. De verantwoording over de PUN en BRP loopt niet synchroon. Echter is hier wel een duidelijke reden voor. De wetswijzigingen zijn namelijk nodig en in de maak. Verder is er mogelijk sprake van een beperkte openstelling van de tool van juli t/m december. Continu (in stukjes) verantwoorden door het jaar heen, werkt dan niet.

Kortom; er zijn nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover. Maar we zijn er nog niet..

Wil je meer weten over ENSIA? Download dan het document met veelgestelde vragen over ENSIA, lees de ENSIA-impactanalyse of neem contact op.