Toen de Baseline Informatiebeveiliging Overheid (BIO) werd ingevoerd, lag de nadruk in veel gemeenten vooral op techniek. Begrijpelijk: thema’s als firewalls, logging en patchmanagement waren zichtbaar en tastbaar, en daarmee automatisch het domein van ICT.

Download hier een pdf van deze blog

Met BIO2 verschuift dat perspectief. Techniek blijft belangrijk, maar de kern ligt steeds nadrukkelijker bij risicogestuurd werken, eigenaarschap, bestuurlijke keuzes en continue verbetering. Daarmee wordt informatiebeveiliging nadrukkelijker onderdeel van management, governance en reguliere sturing.

De grootste risico’s ontstaan in de praktijk namelijk zelden door ontbrekende techniek. Ze ontstaan door onduidelijke verantwoordelijkheden, gebrek aan sturing, onvoldoende inzicht in processen en keuzes die nooit expliciet zijn gemaakt. BIO2 legt precies daar de vinger op de zere plek.

Informatiebeveiliging raakt de hele organisatie

Informatiebeveiliging is geen exclusief ICT-thema meer. Gemeentelijke processen zoals Burgerzaken, het sociaal domein, vergunningverlening, belastingen en HR kunnen alleen goed functioneren als informatie beschikbaar, juist en betrouwbaar is. Daarbij zijn gemeenten steeds afhankelijker van applicaties, gegevenskoppelingen, leveranciers en samenwerkingspartners.

Daarmee ontstaan risico’s die niet door ICT alleen kunnen worden beheerst. Een storing bij een leverancier, onduidelijke afspraken over toegang tot gegevens of onvoldoende zicht op kritieke processen raakt direct de dienstverlening aan inwoners en ondernemers.

BIO2 sluit hierop aan. De nadruk ligt niet alleen op technische maatregelen, maar vooral op:

• Risicogestuurd werken
• Eigenaarschap in de lijn
• Continue verbetering
• Aantoonbaarheid
• Bestuurlijke verantwoordelijkheid

Voor lijnmanagement betekent dit dat informatiebeveiliging onderdeel wordt van de normale sturing op processen. De proceseigenaar moet weten welke informatie essentieel is, welke risico’s daarbij horen, welke maatregelen nodig zijn en welke restrisico’s bewust worden geaccepteerd. De CISO, privacyfunctionarissen en ICT ondersteunen daarbij, maar de afweging en prioritering horen thuis in de lijn.

Eigenaarschap wordt concreet

De verantwoordelijkheid van proceseigenaren is niet nieuw. In BIO2 wordt die verantwoordelijkheid wel minder vrijblijvend, mede door de koppeling met de Cyberbeveiligingswet. Waar eigenaarschap eerder soms impliciet bleef of vooral op papier was belegd, vraagt BIO2 om een zichtbare en aantoonbare invulling.

Dat betekent dat per proces duidelijk moet zijn wie verantwoordelijk is voor de informatie, systemen, leveranciers en gegevensverwerkingen die nodig zijn om het proces goed te laten verlopen. De proceseigenaar hoeft niet alle maatregelen zelf uit te voeren, maar moet wel kunnen sturen op de risico’s die bij het proces horen.

In de praktijk betekent dit dat duidelijk moet zijn:

• Wie eigenaar is van het proces
• Welke informatie en systemen kritisch zijn
• Welke risico’s de dienstverlening, gegevensbescherming of continuïteit kunnen raken
• Welke maatregelen nodig zijn en wie deze uitvoert
• Wie openstaande acties bewaakt
• Welke restrisico’s worden geaccepteerd, door wie en op basis waarvan

Informatiebeveiliging kan daarmee niet langer worden “weggezet” bij ICT of de CISO. ICT kan maatregelen uitvoeren en de CISO kan adviseren, toetsen en rapporteren. De lijn moet echter zelf richting geven, keuzes maken en zorgen dat risico’s onderdeel worden van de reguliere sturing op het proces.

Van maatregelen naar managementkeuzes

BIO2 maakt risicogestuurd werken leidend. Dat betekent dat niet de maatregel zelf centraal staat, maar de vraag welk risico ermee wordt beheerst en welke keuze de organisatie daarin maakt.

Daarbij horen managementvragen zoals:

• Welke processen zijn kritisch voor onze dienstverlening?
• Welke risico’s kunnen we accepteren, en welke niet?
• Waar moeten we als eerste in investeren?
• Welke afhankelijkheden van leveranciers en ketenpartners vragen extra aandacht?
• Welke verbeteracties krijgen prioriteit binnen de beschikbare capaciteit?
• Wie besluit over restrisico’s als maatregelen niet direct uitvoerbaar zijn?

Voor lijnmanagement betekent dit dat informatiebeveiliging onderdeel wordt van de reguliere sturing. Risico’s moeten niet alleen worden geïnventariseerd, maar ook worden besproken, gewogen en opgevolgd. Dat vraagt om besluitvorming over prioriteiten, capaciteit, planning en acceptatie van restrisico’s.

In de praktijk kan de proceseigenaar dit organiseren door risico’s te koppelen aan procesgesprekken, teamplannen, leveranciersoverleggen en de planning-en-controlcyclus. De management review binnen het ISMS helpt vervolgens om deze risico’s, besluiten en verbeteracties ook op organisatieniveau te beoordelen en bij te sturen.

Samenwerking is noodzakelijk

BIO2 raakt meerdere disciplines tegelijk. HR is nodig voor bewustwording, screening en uitdiensttreding. Inkoop en contractmanagement zijn nodig voor afspraken met leveranciers. Juridische zaken en privacy kijken mee naar wettelijke verplichtingen, verwerkersafspraken en gegevensbescherming. De primaire processen weten waar de dienstverlening kwetsbaar is en welke informatie echt kritisch is.

Daarom kan informatiebeveiliging niet vanuit één afdeling worden georganiseerd. Risico’s ontstaan juist op de raakvlakken tussen processen, systemen, mensen en leveranciers. Denk aan een medewerker die van functie verandert maar nog toegang houdt, een leverancier zonder duidelijke beveiligingsafspraken of een proceswijziging waarbij privacy en beveiliging te laat worden betrokken.

De lijnmanager heeft hierin een verbindende rol. Niet door alles zelf uit te voeren, maar door de juiste disciplines tijdig aan tafel te brengen, afspraken te laten vastleggen en opvolging te organiseren. De CISO ondersteunt daarbij als adviseur. Bijvoorbeeld door risico’s te duiden, dreigingen te vertalen naar mogelijke impact op de dienstverlening, te adviseren over prioriteiten en de samenhang tussen maatregelen te bewaken.

De verantwoordelijkheid voor de keuzes blijft bij het management. Juist door die rolverdeling expliciet te maken, ontstaat een werkbare samenwerking: de CISO adviseert en toetst, de vakdisciplines leveren hun expertise en de lijn stuurt op besluitvorming en opvolging.

Cultuur als bepalende factor

Een weerbare organisatie ontstaat niet alleen door regels en maatregelen, maar vooral door de manier waarop mensen ermee omgaan. Medewerkers moeten weten wat van hen wordt verwacht, risico’s moeten bespreekbaar zijn en leidinggevenden moeten laten zien dat informatiebeveiliging onderdeel is van professioneel werken.

Als medewerkers regels omzeilen om het werk sneller gedaan te krijgen, incidenten niet melden uit angst voor gedoe of risico’s niet op tafel komen bij proceswijzigingen, blijft de organisatie kwetsbaar. Niet omdat er geen beleid is, maar omdat het beleid onvoldoende leeft in de praktijk.

BIO2 vraagt daarom aandacht voor bewustwording, voorbeeldgedrag en een open meldcultuur. Voor lijnmanagers betekent dit dat zij het onderwerp actief moeten agenderen in werkoverleggen, medewerkers moeten aanspreken op veilig gedrag en ruimte moeten maken om twijfels, fouten en risico’s vroegtijdig te bespreken.

Zo wordt informatiebeveiliging geen jaarlijkse e-learning of papieren verplichting, maar onderdeel van de dagelijkse manier van werken.

Tot slot

BIO2 maakt informatiebeveiliging concreter onderdeel van goed management. Niet als extra taak naast het werk, maar als onderdeel van sturen op betrouwbare dienstverlening, continuïteit en bescherming van gegevens.

Voor lijnmanagement betekent dit dat eigenaarschap zichtbaar moet worden in de praktijk: weten welke processen kritisch zijn, risico’s bespreekbaar maken, prioriteiten stellen, maatregelen laten opvolgen en bewust besluiten over restrisico’s.

Organisaties die dit goed organiseren, maken informatiebeveiliging minder afhankelijk van losse acties of individuele deskundigen. Zij bouwen aan een manier van werken waarin risico’s tijdig op tafel komen, verantwoordelijkheden duidelijk zijn en verbetering onderdeel wordt van de reguliere sturing.

De kern van BIO2 is daarmee niet dat er meer moet worden vastgelegd, maar dat informatiebeveiliging aantoonbaar wordt meegenomen in de keuzes die managers toch al maken.

Meer weten?

Wil je proceseigenaren beter toerusten voor hun rol binnen BIO2? Of wil je informatiebeveiliging concreter verbinden aan processen, risico’s en aantoonbaarheid?

IB&P ondersteunt gemeenten met praktische kennis en begeleiding, onder andere met:

• De cursus BIO voor proceseigenaren
• Begeleiding bij het uitvoeren van risicoanalyses
• Ondersteuning bij het opzetten en uitvoeren van interne audits

Daarbij ligt de nadruk niet alleen op wat BIO2 vraagt, maar vooral op hoe je dit werkbaar organiseert in de gemeentelijke praktijk.

Wil je weten wat dit betekent voor jouw gemeente? Neem contact op met IB&P voor een cursus, gesprek of maatwerktraject.