Geïntegreerde interne beheersingsaanpak vereenvoudigt implementatie NIS2

ICT Leveranciers Management Systeem (ILMS)

De invoering van de Europese NIS2-richtlijn (Network and Information Security Directive) als onderdeel van de Cyberbeveiligingswet stelt nieuwe, verhoogde eisen aan overheidsorganisaties om hun digitale beveiliging en incidentbeheer robuuster in te richten. Dit betekent dat overheidsorganisaties, meer dan nu, verantwoordelijkheid dragen voor zowel hun interne processen als voor de wijze waarop zij externe partners, zoals ICT-leveranciers, beheren. Veel gemeenten  hebben al gespecialiseerde oplossingen in huis zoals een ISMS, BCMS, risicomanagementsystemen of zelfs een ILMS om specifieke beheersingsvraagstukken te beheren. Door de Cyberbeveiligingswet onstaat nu het moment om de stap te maken naar een geïntegreerde interne beheersingsaanpak. In plaats van te kiezen voor afzonderlijke, taakspecifieke applicaties, kunnen overheidsorganisaties écht  hun effectiviteit, transparantie en naleving van NIS2 aanzienlijk verbeteren door te kiezen voor een allesomvattend systeem dat deze functies samenvoegt.

door Bart Suers

Wat is een ILMS en hoe werkt het?

Een ICT Leveranciers Management Systeem (ILMS) stelt overheidsorganisaties in staat om alle aspecten van hun leveranciersrelaties effectief te beheren. Dit systeem controleert en beheert het proces van de relatie met de ICT-leverancier van begin tot eind op basis van toetsbare eisen die randvoorwaardelijk zijn voor een langdurige en voorspelbare relatie waarin ook voldoende aandacht is om de prestaties en beveiligingsmaatregelen van externe ICT-leveranciers te beheersen, te verbeteren en te verantwoorden.

Maar het probleem waar veel overheidsorganisaties tegenaan lopen, is dat het implementeren van meerdere afzonderlijke systemen – zoals ILMS voor leveranciersbeheer, ISMS voor informatiebeveiliging en BCMS voor bedrijfscontinuïteit – leidt tot gefragmenteerde inzichten en inefficiënt beheer. Elk van deze systemen heeft vaak zijn eigen data, eigen rapportagevereisten en eigen procesinrichting. Dat zorgt ervoor dat het coördineren van de beheersingsopgave lastig kan worden omdat professionals vanuit uiteenlopende vakdisciplines met verschillende werkwijzen elkaar moeten vinden in een eenduidige rapportage die begrijpelijk is voor alle stakeholders. Klinkt als onmogelijk, dat is het niet. Dit is waar een geïntegreerde aanpak zijn waarde bewijst.

De 3 fragmentatiespoken

Laten we eens kijken naar de belangrijkste aspecten om te voldoen aan de NIS2 vereisten. Elk van de componenten – ILMS, ISMS, BCMS, risicomanagement, incidentregistratie en audit & rapportage – is essentieel voor interne beheersing, verbetering en verantwoording binnen de organisatie. Echter, als deze systemen afzonderlijk worden gebruikt, ontstaan er verschillende uitdagingen:

  • Het informatie fragmentatie spook: Elk systeem werkt vaak in zijn eigen “bubbel”, zonder naadloze gegevensuitwisseling met andere systemen. Hierdoor ontstaat een fragmentatie van belangrijke informatie, zoals incidentrapporten, risico’s of beveiligingsincidenten. Natuurlijk kun je al die systemen koppelen maar dat is vaak tijdrovend, foutgevoelig en verhoogt de afhankelijkheid met vaak meerdere ICT-leveranciers. Beter is het om niet uit te gaan van allerlei informatiesilo’s die gekoppeld moeten worden, maar zorgen dat de aanpak gestructureerd en de werkwijze gestandaardiseerd verloopt tussen mensen. Dat kost minder geld, tijd en moeite.
  • Het meerwerk spook: Het beheren van meerdere systemen vergt meer tijd en middelen om gegevens te koppelen en synchroniseren. Dit leidt vaak tot dubbel werk, onduidelijkheden en inefficiënties in compliance-processen. Je hebt dan ook meer functioneel beheer nodig. Meer functioneel beheer leidt over het algemeen niet meteen tot een hogere adoptie van systemen bij meerdere eindgebruikers maar in ieder geval wel tot hogere kosten.
  • Het beleidspook: Zonder integratie bestaat een verhoogd risico dat verschillende systemen niet op één lijn zitten qua beleid. Ook kunnen verschillende versies van dezelfde beleidsregels worden gehanteerd. Dit kan leiden tot onbedoelde beveiligingslacunes. Enkelvoudige informatie meervoudig gebruiken, geldt ook voor de manier waarop beheersingsprincipes worden toegepast. Dat begint met het vaststellen van een vastgestelde visie op een beleidsmatige invoer van integrale interne beheersing.

Voordeel van een geïntegreerde aanpak van interne beheersing

Een geïntegreerde aanpak biedt een oplossing door alle relevante beheersingsvraagstukken in één systeem samen te brengen. Door deze binnen een eenduidige structuur samen te brengen en op gestandaardiseerde wijze uit te rollen naar de organisatie, ontstaat samenwerking tussen de mensen in de uitvoering en samenhang tussen NIS2 legt een zware verantwoordelijkheid op overheidsorganisaties, niet alleen voor hun eigen interne processen, maar ook voor de acties en beveiligingsmaatregelen van de externe leveranciers. Het kiezen voor meerdere taakspecifieke applicaties, zoals een ISMS voor informatiebeveiliging en een ILMS voor leveranciersbeheer, kan op het eerste gezicht aantrekkelijk lijken. Deze systemen zijn immers gespecialiseerd in hun respectievelijke gebieden. Echter, de complexiteit en verantwoordelijkheid die NIS2 met zich meebrengt, vereisen een meer holistische aanpak.

Conclusie

Een geïntegreerde interne beheersingsaanpak biedt overheidsorganisaties nu de kans om de NIS2 vereisten uit de Cyberbeveiligingswet wel tijdig (voor eind 2026) te implementeren. Door een gestandaardiseerde aanpak, stroomlijnen van BCM, risicomanagement, informatiebeveiliging en ICT-leveranciersmanagement in één integrale oplossing. Het beheren van NIS2-compliance met losse systemen zoals ILMS, ISMS en BCMS creëert inefficiënties, verhoogt de kans op fouten en vertraagt de besluitvorming. Een geïntegreerde interne beheersingsaanpak biedt daarentegen een gestroomlijnde, efficiënte manier.

Webinar Grip op ICT-leveranciersmanagement

Tijdens een webinar laten we zien hoe overheidsorganisaties met behulp van het normenkader de integrale beheersing voor ICT-leveranciersmanagement kunnen organiseren. We laten zien hoe de informatie geborgd wordt in het normenkader en hoe deze informatie op een eenvoudige manier gedeeld kan worden met andere belanghebbenden, waaronder: de proceseigenaar, CISO, privacy officer, functionaris gegevensbescherming, concerncontroller, directie, het bestuur en de accountant.

Meld je aan voor het webinar

Liever direct contact? 

Wil je meer weten over onze aanpak en hoe wij je kunnen helpen bij het implementeren van ILMS?
Neem contact met ons op voor een persoonlijk gesprek.