Ojee, NIS2? Niet met ICT-leveranciersmanagement als onderdeel van interne beheersing

De verwachting is dat eind dit jaar de NIS2-richtlijn in nationale wet- en regelgeving verankerd zal zijn. Dat betekent dat gemeenten een pittige uitdaging wacht om deze richtlijn te implementeren. Zoals elke verandering roept iedereen meteen weer dat dit grote risico’s met zich meebrengt. Vanuit Key2Control zien we het juist als een enorme kans voor gemeenten om cyberveiligheid (eindelijk) naar een hoger niveau te tillen. En die kans is dat de NIS2-richtlijn een uitgelezen moment is om aandacht te vragen om ICT-leveranciersmanagement als een intern beheersingsproces te organiseren.

door Bart Suers

Gemeenten zijn steeds afhankelijker van technologische oplossingen om hun dienstverlening effectief aan te bieden en hun bedrijfsvoering efficiënt te organiseren. Een gemeente kent bovendien veel informatierijke processen waarin ook veel persoonsgegevens worden verwerkt. ICT-systemen zijn simpelweg randvoorwaardelijk en dat maakt gemeenten een aantrekkelijker doelwit voor cyberaanvallen. De NIS2-richtlijn van de Europese Unie wordt dan ook gezien als een essentieel instrument in de strijd tegen cyberdreigingen. Want de toetsbare eisen (normen) voor netwerk- en informatiebeveiliging worden écht verhoogd.

Verhoogde beveiligingseisen en compliance

NIS2 vervangt de oorspronkelijke NIS-richtlijn met strengere eisen die de veerkracht en beveiliging van netwerken en informatiesystemen aanscherpen. Voor gemeenten betekent dit een verplichting om hun ICT-infrastructuren en de daarmee verbonden leveranciers grondig te evalueren en aan te passen om aan deze nieuwe normen te voldoen. Een initiële beoordeling volstaat niet meer, het gaat om het aantonen van doorlopende controles met daaruit voortkomende beheers- en verbetermaatregelen én het afleggen van verantwoording.

Risicobeheer en beveiliging van de toeleveringsketen

Hier komen de ICT-leveranciers écht in beeld. NIS2 schrijft voor dat de risico’s langs de gehele toeleveringsketen in kaart worden gebracht en worden beheerst op aantoonbare wijze. Gemeenten moeten dus nauwer samenwerken met hun ICT-leveranciers om ervoor te zorgen dat elke schakel in de keten robuuste beveiligingsmaatregelen heeft geïmplementeerd. Dit zal een strengere selectie tot gevolg hebben bij het aangaan van nieuwe contracten en een verhoogde monitoring van bestaande contracten. En dat juichen wij van harte toe omdat ICT-Leveranciersmanagement hierdoor een integrale interne beheersingskwestie wordt. 

Incidentrapportage en snel reactievermogen

Afwachten is ook geen optie meer. De NIS2-richtlijn vereist dat gemeenten in staat zijn om beveiligingsincidenten snel te detecteren en te rapporteren. Dit benadrukt het belang van het hebben van betrouwbare ICT-partners die niet alleen reactief, maar ook proactief kunnen handelen in het geval van een cyberdreiging. Het vermogen van een leverancier om snel en efficiënt incidenten te melden en erop te reageren, wordt een cruciale factor in de leveranciersselectie. Hierdoor worden kwaliteit leveren en continuïteit bieden belangrijke selectiecriteria omdat gemeenten gebaat zijn bij lange termijnrelaties met betrouwbare leveranciers.

“Naleving van de cybersecurityrichtlijn is geen eenmalige inspanning, maar een doorlopende verplichting die actief beheer en voortdurende verbetering vereist.”

Naleving als een voortdurende verplichting

Tenslotte brengt NIS2 ook strengere sancties met zich mee voor niet-naleving. Dat zorgt ervoor dat de financiële en operationele risico’s voor gemeenten hoger zullen worden. Het zorgvuldig beheren van relaties met ICT-leveranciers helpt daarbij. Het wordt dus essentieel om te garanderen dat alle systemen en diensten consistent voldoen aan de richtlijn. De NIS2 dwingt gemeenten straks om niet alleen hun eigen cyberveiligheid beter beschermen, maar ook de veiligheid en het welzijn van hun klanten (inwoners, bedrijven en mede overheden) verbeteren. Dit komt de complete overheidsketen ten goede. Het is een investering in de toekomstige veerkracht en betrouwbaarheid van lokale overheden

Meer weten?

Key2Control biedt gemeenten een integrale oplossing om uiteenlopende bedrijfsvoeringsthema’s aantoonbaar te beheersen, te verbeteren en te verantwoorden. Dat levert gemeenten direct voordelen op zoals kennisbehoud, kwaliteitsverbetering én een aantoonbare kostenbesparing op het gebied van interne beheersing.

Heb je interesse of wil je meer weten over het gebruik van de Key2Control software of de ervaringen van onze klanten?
Neem zeker contact met ons op. We gaan graag persoonlijk in gesprek om de mogelijkheden en meerwaarde voor jouw organisatie samen te ontdekken.

Webinar: Grip op ICT-leveranciersmanagement

Het beheersen van ICT-leveranciersmanagement is dus een absolute must voor elke overheidsorganisatie. We geven regelmatig webinars: Hoe kun je in control komen als overheidsorganisatie?