Een cyber- of ransomware-aanval of een groot datalek: het is de nachtmerrie van elke gemeente. In een paar minuten kan de hele organisatie stilvallen, met grote gevolgen voor de dienstverlening, reputatie en inwoners. Op zo’n moment moet er snel gehandeld en besloten worden. De Chief Information Security Officer (CISO) speelt daarin een cruciale rol. Maar hoe ziet die rol er in de praktijk uit? Is de CISO vooral degene die meekijkt en adviseert, of iemand die ook actief meebeslist in het calamiteitenteam? Je leest het in deze blog.

Download hier een pdf van deze blog

De bruggenbouwer tussen techniek en bestuur

Tijdens een calamiteit vliegen de technische termen je vaak om de oren: encryptie, isolatie, forensics, exfiltratie. Voor bestuurders en communicatieteams zijn dat vaak abstracte begrippen. Toch moeten juist zij in korte tijd belangrijke besluiten nemen: over het afsluiten van systemen, het inschakelen van externe experts of de communicatie met inwoners en media.

Daar ligt de kracht van de CISO, als bruggenbouwer tussen de techniek en het bestuur. De CISO vertaalt complexe technische informatie naar begrijpelijke risico’s en concrete keuzes. Niet in de taal van firewalls en logbestanden, maar in termen van continuïteit en impact. Wat betekent dit datalek voor onze dienstverlening? Kunnen inwoners hun vergunningaanvraag nog indienen? Hoe groot is de kans dat gegevens op straat komen te liggen? Door technische risico’s te vertalen naar bestuurlijke afwegingen helpt de CISO het calamiteitenteam om sneller én beter te beslissen. Lees ook mijn eerdere blog ‘De CISO als strategisch adviseur van het bestuur’.

Houd het hoofd koel

De CISO is ten tijde van een calamiteit niet alleen adviseur, maar volwaardig lid van het calamiteitenteam. Je kijkt niet alleen mee, je denkt mee, en soms beslis je mee. Dat vraagt om een actieve houding. Blijf in je rol: geef heldere analyses, schets scenario’s en maak keuzes inzichtelijk. En vooral: blijf rustig en gestructureerd. Tijdens een calamiteit is overzicht belangrijk. Vat de situatie samen in termen van risico’s en effecten. Dus niet: “Er is ongeautoriseerde toegang tot het netwerk”, maar: “Er is mogelijk toegang geweest tot persoonsgegevens van inwoners; dat heeft impact op onze wettelijke meldplicht en op het vertrouwen van burgers.” Een goede CISO houdt het hoofd koel, duidt de feiten en helpt het calamiteitenteam om prioriteiten te stellen.

Grenzen en verantwoordelijkheden helder maken

Het is belangrijk om duidelijk te zijn over de grenzen van je rol. De CISO is namelijk niet degene die bestuurlijke besluiten neemt, die verantwoordelijkheid ligt bij het college of de calamiteitenleiding. Maar: de CISO heeft wél de taak om de risico’s van keuzes helder te benoemen. Als bijvoorbeeld besloten wordt om systemen weer op te starten terwijl nog niet alles zeker is, dan is het jouw rol om aan te geven wat dat kan betekenen. Ook als dat een ongemakkelijk gesprek is.

Een goed uitgangspunt daarbij is het Three Lines of Defense-model, dat ook binnen gemeenten steeds vaker wordt toegepast. Daarin vormt de CISO onderdeel van de tweede lijn: de lijn die toezicht houdt, adviseert en toetst of beheersmaatregelen effectief zijn. De eerste lijn ligt bij de uitvoerende organisatie, de afdelingen die dagelijks met risico’s te maken hebben, en de derde lijn bij interne audit of control. Door deze rolverdeling scherp te houden, voorkom je dat er tijdens een calamiteit verwarring ontstaat over wie wat beslist of beoordeelt.

Maak hierover vooraf duidelijke afspraken, zodat hier tijdens de calamiteit geen onduidelijkheid over bestaat. Leg daarom in het calamiteitenmanagementplan vast:

• Bij welke besluiten de CISO formeel betrokken is.
• Welke beslissingen technisch van aard zijn (en dus bij de CISO of het IT-team liggen).
• en welke escalatielijnen gelden richting bestuur of directie.

Zo weet iedereen wat de rolverdeling is, en voorkom je discussie op het moment dat elke seconde telt.

Voorbereiding is alles

De effectiviteit van de CISO in een calamiteit valt of staat met een goede voorbereiding. Wacht niet tot er een incident plaatsvindt, maar zorg dat je een vaste plek hebt in het calamiteitenoverleg. Wees betrokken bij het opstellen en actualiseren van het incidentresponsplan en calamiteitenmanagementplan. Zorg dat informatiebeveiliging daar een vaste plek in heeft en dat jouw rol duidelijk is omschreven.

Koppel dit ook aan het Business Continuity Management (BCM)-proces binnen de organisatie. Waar informatiebeveiliging vooral gaat over het voorkomen en beperken van schade, richt BCM zich op het waarborgen van de continuïteit van de belangrijkste processen. Samen vormen ze een sterk geheel: als CISO weet je welke risico’s zich kunnen voordoen en BCM zorgt dat de organisatie voorbereid is om de dienstverlening zo snel mogelijk te herstellen. Door die twee werelden te verbinden, maak je de calamiteitenaanpak robuuster én realistischer. Neem daarnaast deel aan calamiteitenoefeningen. Niet alleen de technische variant, maar juist ook bestuurlijke simulaties waarbij communicatie, besluitvorming en afwegingen centraal staan. Tijdens zulke oefeningen kun je oefenen met:

• Het vertalen van technische informatie naar bestuurlijke taal.
• Het formuleren van heldere adviezen en scenario’s.
• En het inschatten van de gevolgen van verschillende keuzes.

Oefenen helpt niet alleen jou, maar ook het bestuur: zij leren jouw rol kennen en weten wat ze van je kunnen verwachten. Dat vertrouwen is onmisbaar in een echte calamiteit.

Praktische tips

Tot slot een aantal praktische tips die helpen om als CISO effectief te functioneren tijdens calamiteiten:

1. Zorg dat je zichtbaar bent vóórdat de calamiteit ontstaat: Bouw relaties met bestuur, communicatie en ICT. Dan weet iedereen wie je bent en waar je voor staat.
2. Oefen het spreken van twee talen: de technische taal met je securityteam én de bestuurlijke taal met het management.
3. Gebruik checklists en draaiboeken: Zorg dat je een overzicht hebt van cruciale stappen, contactpersonen en tools. Dit voorkomt dat je dingen vergeet in de hectiek.
4. Blijf feitelijk en kalm: In calamiteitensituaties is helderheid belangrijker dan perfectie.
5. Zorg dat beslissingen goed worden vastgelegd: Dat helpt bij de evaluatie én voorkomt misverstanden achteraf.
6. Evalueer na afloop: Wat ging goed, wat niet? Wat kunnen we verbeteren in processen of communicatie? Gebruik elke calamiteit of oefening als leermoment.

De essentie

De CISO in een gemeentelijke calamiteitensituatie is veel meer dan een technisch adviseur die meekijkt. Hij of zij is een belangrijke schakel in de besluitvorming, een vertaler van risico’s naar bestuur en een bewaker van continuïteit en vertrouwen.

De sleutel tot succes ligt in voorbereiding, heldere afspraken en goede samenwerking. Als de CISO niet alleen meekijkt, maar actief meedenkt en bijdraagt aan besluitvorming, wordt informatiebeveiliging geen randvoorwaarde meer, maar een vanzelfsprekend onderdeel van calamiteitenbeheersing. En dat is precies waar het om draait: een gemeente die ook onder druk veilig, betrouwbaar en professioneel blijft handelen.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of ondersteuning nodig binnen jouw gemeente bij het definiëren van de rol van de CISO binnen jouw calamiteitenorganisatie of wil je een praktijkgerichte calamiteitenoefening organiseren? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.