Beleid voor informatiebeveiliging in bredere context


Als CISO zal je eens per drie of vier jaar een nieuw of geactualiseerd informatiebeveiligingsbeleid schrijven en laten vaststellen door het college. Grote kans dat je daarbij uitgaat van een format van de Informatiebeveiligingsdienst. Waar dat format, wat mij betreft, niet echt in uitblinkt is het koppelen van informatiebeveiliging beleidsuitgangspunten voor een gemeente aan lokale, regionale en/of landelijke beleidsuitgangspunten en uitvoeringsagenda’s. In deze blog doe ik een poging alsnog deze inbedding aan te rijken. Het is een lange blog waaruit  je naar hartenlust kunt kopiëren/plakken.

Gemeente Den Haag

Alvorens we dit inhoud induiken, wil ik graag Daan Rijnders kort introduceren. Hij werkt als kwartiermaker Digitaal Veilig voor het CIO Office van de gemeente Den Haag en is feitelijk de auteur van de tekst die je hieronder aantreft, enkele aanpassingen mijnerzijds daargelaten. Vanzelfsprekend heb ik zijn teksten met toestemming opgenomen in mijn blog.

De zaken die hieronder opgesomd staan zijn per definitie tijdelijk en daarmee zal deze blog een minder lange houdbaarheidsdatum kennen dan andere blogs. De tekst maakte onderdeel uit van een bijlage bij een memo aan het bestuur over de inventarisatiefase van een agenda die “…die de komende jaren bijdraagt aan verhoging van de digitale veiligheid in Den Haag.”. Na deze fase volgen uitwerking en besluitvorming.

Tot zover de inleiding. Hieronder tref je achtereenvolgens een samenvatting aan van de Nederlandse Cybersecurity Agenda (NCSA) van de Rijksoverheid, de Agenda Digitale Veiligheid 2020-2024 (ADV) van de Vereniging Nederlands Gemeenten (VNG) en een overzicht van relevante Europese en nationale beleidsontwikkelingen. Over de ADV schreef ik overigens een jaar geleden ook al.

Nederlandse Cybersecurity Agenda

  • De Rijksoverheid heeft in 2018 de NCSA opgesteld met als doel dat Nederland in staat is om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen.
  • Daartoe zijn 7 ambities gedefinieerd die zich richten op digitale slagkracht; internationale vrede & veiligheid in het digitale domein; veilige hard- en software; weerbare digitale processen en een robuuste infrastructuur; cybersecurity als barrière tegen cybercrime; kennisontwikkeling; en een integrale, publiek-private aanpak. Deze agenda heeft landelijke impact maar is niet afgestemd op de agenda’s van de regio en gemeenten.
  • Eén van de prioriteiten van de NCSA is de vorming van een Landelijk Dekkend Stelsel (LDS) wat ervoor moet zorgen dat (op termijn) een stelsel van cybersecurity samenwerkingsverbanden tot stand komt waarin informatie over cybersecurity breder, efficiënter en effectiever kan worden gedeeld tussen publieke en private partijen.
  • Voor de implementatie van de NCSA heeft het kabinet in 2018 structureel 95 miljoen euro extra geïnvesteerd. Deze investeringen zijn grotendeels gebruikt voor het versterken van het Nationaal Cyber Security Centrum (NCSC), de veiligheidsdiensten en politie. Ook is het Digital Trust Center (DTC) en Cybersecurity Alliantie opgericht en is er een nieuwe Nationale Cybersecurity Research Agenda (NCSRA3) ontwikkeld.
  • Het jaarlijkse Cybersecuritybeeld Nederland (CSBN), dat gekoppeld is aan de NCSA en ieder jaar wordt gepubliceerd door de Nationale Coördinator Terrorismebestrijding & Veiligheid (NCTV), hanteert de volgende definities die voor gemeenten relevant kunnen zijn:
    • Cybersecurity: “het geheel aan maatregelen om schade door verstoring, uitval of misbruik van ICT te voorkomen en, indien er toch schade is ontstaan, het herstellen hiervan.”
    • Cyberincidenten: “alle gebeurtenissen of activiteiten die de beschikbaarheid, integriteit of vertrouwelijkheid aantasten van informatie- en procesbesturingssystemen, daardoor verwerkte en opgeslagen informatie en daarvan afhankelijke diensten en processen. Het kan daarbij gaan om zowel een cyberaanval, een moedwillige activiteit van een cyberactor, als uitval door bijvoorbeeld technisch of menselijk falen.”
    • Digitale veiligheid: “gaat om het ongestuurd kunnen functioneren van digitale diensten, processen en onderliggende systemen.”
    • Digitale weerbaarheid: “het vermogen om digitale risico’s in voldoende mate te kunnen beheersen” door “cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken.”
    • Cyberspace: “de digitale ruimte is de complexe omgeving die het resultaat is van de interactie tussen mensen, software en diensten op het internet, ondersteund door wereldwijd gedistribueerde fysieke informatie- en communicatietechnologie (ICT) -apparaten en verbonden netwerken. De digitale ruimte wordt ook wel omschreven als het ‘digitale domein’ of ‘cyberspace’.”

Agenda Digitale Veiligheid 2020-2024

  • Het bestuur van de VNG heeft het thema digitale veiligheid omarmt en begin 2020 in de ADV voor gemeentes 3 inhoudelijke categorieën gedefinieerd:
    • 1) eigen informatiebeveiliging op orde
    • 2) digitale criminaliteit
    • 3) digitale incidenten en -crises

Kernwoorden in de agenda zijn: ketenverantwoordelijkheid, risicomanagement en het aansluiten bij bestaande structuren

  • Onlangs hebben de VNG leden ingestemd met de resolutie Digitale Veiligheid, waarin digitale veiligheid een kerntaak van de gemeente wordt genoemd en de ADV als leidraad wordt aangeboden.
    • De VNG hanteert in de ADV de volgende definities (uit het Cybersecurity Woordenboek van branchevereniging Cyberveilig Nederland):
      • Digitale Veiligheid: “situatie waarin je geen schade hebt of krijgt door verstoring of uitval van ICT.”
      • Cyberweerbaarheid: “de veerkracht van een organisatie en haar digitale systemen en processen. Wordt uitgedrukt in de snelheid en effectiviteit waarmee een organisatie zich weet te herstellen na een incident.”
      • Informatiebeveiliging: “alles wat je doet om ervoor te zorgen dat informatie steeds toegankelijk is, dat de informatie klopt en dat de informatie niet bij anderen terecht komt. Het gaat daarbij vaak om een computersysteem, maar dat hoeft niet. Het gaat om maatregelen, procedures en processen die beveiligingsproblemen voorkomen, opsporen, onderdrukken en oplossen. Informatiebeveiliging zorgt ervoor dat de gevolgen van problemen met informatie zoveel mogelijk beperkt worden.”
      • Digitale criminaliteit: “criminaliteit waarbij iemand een computersysteem aanvalt of misbruikt voor criminele activiteiten. Er zijn twee types: 1) gedigitaliseerde criminaliteit in brede zin. Dit zijn alle strafbare activiteiten waarbij iemand een informatiesysteem of computer gebruikt. Denk aan diefstal en vervalsing van betaalpassen, oplichting, afpersing, kinderporno, racisme en belediging. 2) cybercriminaliteit in enge zin. Hierbij zijn informatiesystemen en computers niet alleen middel, maar ook doelwit. Bijvoorbeeld: computers beschadigen, spamaanvallen, DDoS-aanvallen, virussen verspreiden.”
      • Digitale incidenten en –crises: “digitale of fysieke incidenten met een digitale oorsprong die kunnen leiden tot crises in de eigen organisatie en zelfs tot maatschappij ontwrichtende situaties in het domein van de openbare orde en veiligheid.”

Europese beleidsontwikkelingen

Op alle beleidsniveaus wordt in toenemende mate aan digitale veiligheid gewerkt. Zo wordt in EU-verband op dit moment gewerkt aan een nieuwe “EU strategie inzake cyberbeveiliging voor het digitale tijdperk”:

  • Daarbij is veel aandacht voor het opzetten van netwerken en operationele samenwerking gericht op o.a. verhogen veerkracht, informatiedeling, veilige next-generatie digitale infrastructuur & technologie (o.a. 5G, AI en Quantum), certificering van hard- & software (o.a. Inter of Things), de stabiliteit van (de kern van) het internet (o.a. standaarden), het trainen van de beroepsbevolking en cyberdiplomatie. Ook wordt het MKB expliciet genoemd.
  • Deze strategie zal de basis leggen voor nieuwe regelgeving en de actualisatie van bestaande EU-regelgeving, zoals de Cyber Security Act en de Network & Information Security Directive (NIS). Met name laatstgenoemde kan ingrijpende gevolgen hebben. In de conceptversies wordt gesproken over het mogelijk aanmerken van het MKB en gemeenten als zijnde vitaal. Dat zou o.a. betekenen dat ook deze organisaties voortaan door het NCSC moeten worden bediend. 
  • De Nederlandse Europarlementariër Bart Groothuis is aangesteld als rapporteur om te komen tot een breed gedragen akkoord.

Nederlandse beleidsontwikkelingen

In nationaal verband wordt door de Rijksoverheid verder gewerkt aan uitwerking voor voornoemde EU-regelgeving, o.a. de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de roadmap veilige hard- & software, het bestaande beleid (NCSA), en mogelijke nieuwe investeringen in het nieuwe kabinet. Wat betreft laatstgenoemde zijn de volgende zaken relevant:

  • In de brede maatschappelijke heroverwegingen (BMC) wordt voorgesteld dat een volgend kabinet extra investeert in het verhogen van de weerbaarheid van vitale processen (vaak ook “vitale infrastructuur” genoemd). Er wordt o.a. geschreven over het opzetten van een testprogramma, meer aandacht voor ketenafhankelijkheden & -kwetsbaarheden en het herzien (verbreden) welke processen vitaal zijn. Daarnaast wordt aangeraden om in te zetten op het internationaal reguleren van cyberspace, het als prioriteit aanmerken van de eigen cybersecurity van de overheid (beveiligen van netwerken, systemen en apparaten) en een zwaardere rol en bevoegdheden voor het Nationaal Cyber Security Centrum (NCSC).
  • Over vitale processen zegt BMC dat het noodzakelijk is om meerdere partijen bijeen te brengen om kennis over dreigingen en risico’s, en dan met name cascade- en keteneffecten, op het gewenste niveau inzichtelijk te maken. De Nederlandse vitale infrastructuur wordt gevormd door processen (zoals bijvoorbeeld telecom en energie) die zo vitaal zijn voor het functioneren van de samenleving, dat verstoring ervan leidt tot instabiliteit en discontinuïteit. Veel vitale processen zijn onderling van elkaar afhankelijk. De Rijksoverheid kijkt alleen naar de vitale processen die van nationaal belang zijn en heeft hiervoor criteria opgesteld. Dat leidt ertoe dat sommige processen en infrastructuur die op lokaal niveau vitaal zijn voor het functioneren van de stad, zoals ziekenhuizen en scholen, op nationaal niveau niet vitaal zijn en dus ook geen cybersecurity ondersteuning krijgen van het Rijk (via het NCSC).
  • Het huidige kabinet heeft €95 miljoen extra geïnvesteerd in cybersecurity. Deze middelen zijn vooral geïnvesteerd in meer personele capaciteit bij verschillende overheidsonderdelen. Het NCSC schaart de gemeente niet onder vitaal en verwijst naar de Informatiebeveiligingsdienst (IBD) van de VNG.
  • In de BMC ligt de focus vooral op vitale infrastructuur en internationale normen & standaarden, maar een inventarisatie van verkiezingsprogramma’s laat zien dat er bij politieke partijen ook veel aandacht is voor de bestrijding van cybercriminaliteit en gedigitaliseerde criminaliteit.
  • Onlangs werd bekend dat de Cyber Security Raad (CSR) het nieuwe kabinet aanraadt om €835 miljoen extra in cybersecurity te investeren. De focus lijkt daarbij vooral te liggen op inlichtingen, opsporing en vervolging. In dit advies van der CSR ontbreekt het lokale perspectief volledig. Een paar jaar geleden adviseerde de CSR dat organisaties 10% van hun ICT-budget dienen te investeren in cybersecurity. Er zijn echter maar weinig organisaties die aan dit percentage voldoen. Dit percentage is ook opgenomen in de resolutie Digitale Veiligheid van de VNG.

Tot slot

Zelf hoop ik dat deze blog twee doelen zal bereiken. Allereerst dat je zelf, net als ik, wat opsteekt en leert van de context waarin we opereren en, daarnaast, dat je de vertaalslag naar je eigen, gemeentelijke informatiebeveiligingsbeleid weet te maken. Vanzelfsprekend doe je er goed aan het beleidskader goed aan te laten sluiten bij het coalitieakkoord van je gemeente. Dit alles helpt voorkomen dat het informatiebeveiligingsbeleid vooral op papier bekrachtigd wordt door het bestuur zonder daarvoor de benodigde middelen ter beschikking te stellen en te sturen op dit beleidsthema.

Tot slot, nogmaals dank aan Daan Rijnders!

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.