Een goed werkend ISMS onder de NIS2-richtlijn is cruciaal
In onze snel evoluerende digitale wereld worden overheidsorganisaties steeds vaker geconfronteerd met cybercriminaliteit. Dagelijks horen we verhalen over de gevolgen van falende beveiliging. Daarom is het van cruciaal belang dat overheidsorganisaties grondige beveiligingsmaatregelen treffen om zich te beschermen tegen cybercriminaliteit en tegelijkertijd de digitale weerbaarheid te versterken. Eisen over de mate van beveiliging komen onder meer uit de NIS2-richtlijn die ultimo 2024 moet zijn omgezet naar Nederlands recht. Opvallend is dat het vanuit onze overheid behoorlijk stil is rond de impact van de NIS2-richtlijn terwijl er wel geadviseerd wordt om alvast voorbereidingen te treffen. Daarom doe ik een voorzet vanuit mijn kennis en waarnemingen om een handreiking te bieden, rekening houdend met de huidige aanpak op het gebied van informatiebeveiliging bij de overheid en in relatie tot een ISMS voor gemeenten.
Door Gerrit Goud
Het is nog maar de vraag of de NIS2-richtlijn van toepassing wordt op gemeenten. Artikel 2 lid 5a van de richtlijn geeft namelijk aan dat elke lidstaat zelf bepaalt of overheidsinstanties op lokaal niveau onder de richtlijn vallen. Ik heb begrepen van de Digitale Overheid dat hiermee in het wetsvoorstel rekening wordt gehouden, maar zolang er geen formeel besluit is genomen, kan het alle kanten op gaan. En dat zorgt voor onzekerheid en bemoeilijkt de voorbereiding, wat leidt tot een afwachtende houding. Helaas! Laten we er echter vanuit gaan dat de richtlijn ook van toepassing wordt voor gemeenten. Trouwens, elke organisatie die buiten de NIS2-richtlijn valt, staat vrij om deze toch te volgen in de strijd tegen cybercriminaliteit.
Noodzaak goed werkend ISMS
Voor organisaties die onder de NIS2-richtlijn vallen, is een goed werkend ISMS essentieel om jaarlijks op aantoonbare wijze verantwoording af te kunnen leggen. Naast de eigen behoefte is dit mede van belang vanwege het externe toezicht door een nationale autoriteit. Verantwoording vereist altijd dat dit aantoonbaar en controleerbaar is, en dat is juist het uitdagende aspect. Het domein van informatie- en cyberbeveiliging bij gemeenten is namelijk zeer omvangrijk en complex, waardoor Excelomgevingen niet geschikt zijn voor effectief beheer zoals bedoeld vanuit de NIS2-richtlijn. Daarnaast zorgen regelmatige personeelswisselingen ervoor dat in zo’n werkomgeving het ‘wiel’ telkens opnieuw wordt uitgevonden en is het behouden van noodzakelijk kennis ondoenlijk onder het personeel. Hierdoor kan een organisatie in een vicieuze cirkel terechtkomen waarbij veel inefficiënte inspanningen nodig zijn om het hoofd boven water te houden en groei naar een gewenst niveau van volwassenheid een utopie blijkt, laat staan het stimuleren van vitale weerbaarheid, omdat veel energie verloren gaat in inefficiënties. Een organisatie is dan op zijn kwetsbaarst. En ga er maar vanuit dat de kosten en tijd die worden besteed aan zo’n vicieuze cirkel veel hoger zijn dan investeren in een goed werkend ISMS.
Digitale weerbaarheid
Een belangrijk punt is ervoor te zorgen dat noodzakelijke beveiligingsmaatregelen effectief zijn en dat voldaan wordt aan de vereiste digitale weerbaarheid volgens de NIS2-richtlijn. Maar hoe tonen we dit aan? Dat doen we in ieder geval niet met de huidige aanpak zoals opgelegd vanuit de BIO en ENSIA, die sterk compliance gedreven is en uiteindelijk leidt tot een stempel van “administratief” passief beveiligen. Dat is geen keurmerk om voldoende weerstand te bieden tegen cybercriminaliteit. Een beter keurmerk is die van certificering zoals de ISO 27001 die wereldwijd erkend wordt. Maar zover is de overheid nog niet.
BIO als basis
De BIO of zijn opvolger is op zich een prima basis voor de implementatie van de NIS2-richtlijn. Je hebt immers een kapstok nodig en dit normenkader is bij de overheid bekend en gebaseerd op de wereldwijde standaard ISO 27002. Daarbij zijn als gevolg van de NIS2-richtlijn diverse aanscherpingen nodig om de digitale weerbaarheid te versterken. Lees hierover meer over in ons artikel “10 aandachtspunten voor de BIO als gevolg van de NIS2 richtlijn“.
Next level
Zoals eerder aangegeven is een logische vervolgstap het opstarten van een erkend wereldwijd certificeringstraject dat haalbaar en uitvoerbaar is. Een dergelijk keurmerk draagt bij aan het maatschappelijk vertrouwen. Uiteraard staat het elke gemeente vrij om te kiezen voor zo’n traject waarbij rekening wordt gehouden met de eisen uit de NIS2-richtlijn die prima in te bedden zijn onder de BIO-normen (lees ISO 27002). De provincies hebben al in 2018 gezamenlijk gekozen voor een certificeringstraject en diverse provincies zijn inmiddels gecertificeerd op de ISO 27001. Een certificaat als keurmerk heeft als voordeel dat het erkend wordt door alle ketenpartners en bijdraagt aan het maatschappelijk vertrouwen. Die erkenning lukt in ieder geval niet met de huidige ENSIA. Die wordt alleen erkend binnen de overheid!
Zou het dan niet slimmer zijn om de huidige inspanningen te richten op een goed werkend ISMS dat extern geaudit wordt voor het behalen en het in continuïteit vasthouden van een wereldwijd erkend ISO 27001 certificaat inclusief de verklaring van toepasselijkheid. Zo’n certificaat kan dan als verantwoordingsdocument worden gedeeld met alle belanghebbenden waaronder de ministeries (eventueel aangevuld met een beperkt aantal aanvullende gerelateerde overheidseisen) die deze input gebruiken voor hun eigen informatiebehoeften en verantwoording. Dat is ook “eenduidige normatiek” met als bijkomend voordeel meer efficiency in het verantwoordingsproces en een veel groter bereik voor diverse doelgroepen in de maatschappij.
Wat kan Key2Control voor u betekenen?
Voor organisaties die serieus aan de bak willen met informatie- en cyberbeveiliging en ambities hebben om te groeien naar een gewenst volwassenheidsniveau, bieden wij een ISMS-platform in het Key2Control management control systeem. Dit platform is gebaseerd op gangbare beheersingsprincipes inclusief een risico- en auditmodule rondom een PDCA-cyclus en ondersteunt het zogenaamde drielijnenmodel. Ons ISMS-platform is geschikt voor certificeringstrajecten. De Key2Control software beschikt over diverse normenkaders op het gebied van informatie- en cyberbeveiliging waaronder de BIO, ISO 27001 en 27002, NEN 7510 en een volwaardig BCMS gebaseerd op de ISO 22301 met concrete beveiligingsmaatregelen.
Meer weten?
We zijn ervan overtuigd dat een persoonlijk gesprek altijd toegevoegde waarde biedt. Neem gerust contact op voor een vrijblijvende kennismaking.