PLAN CIO-Rijk CHECK kaders en sturing informatiebeveiligingsbeeld PLAN CISO-departement CHECK kaders en sturing informatiebeveiligingsbeeld PLAN CISO-dienstonderdeel CHECK Gelaagd risicomanagementmodel wat wel, wat niet, wat nu, wat later? De bekende plan-do-checkact cyclus helpt daarbij. Uit de onderzoeken in 2022 en 2023 van de Algemene Rekenkamer blijkt dat binnen de Rijksoverheid het risicomanagement voor informatiebeveiliging de afgelopen jaren sterk is verbeterd. Sinds 2021 is via het Besluit CIO-stelsel Rijksdienst voorgeschreven dat de departementale CISO (chief information security officer) een departementaal risicobeeld ontwikkelt, actueel houdt en daarop acteert. Mede daardoor hebben inmiddels vrijwel alle departementen een risicomanagementaanpak waarin ze cyclisch risico’s inventariseren en maatregelen nemen om deze aan te pakken. Aan departementen zijn vaak verschillende dienstonderdelen verbonden. Om vanuit de verschillende lagen te sturen op risicobeheersing, wordt gewerkt met een gelaagd risicomanagementmodel. De stand van zaken en voortgang komen periodiek op verschillende niveaus ter tafel via informatiebeveiligingsbeelden. Uit de informatiebeveiligingsonderzoeken blijkt ook dat het veel tijd en energie kost om deze processen op gang te brengen en te houden. Organisaties hebben verschillende uitgangsposities. Volledigheid en detailniveau van informatiebeveiligingsbeelden verschillen daardoor in het begin vaak enorm. Verbeteringen realiseren via kaders kan alleen stap voor stap. Hierbij is de voortgang kwetsbaar omdat de activiteiten 34 erg afhankelijk blijken van een kleine groep medewerkers die de kar trekken. Aan de bestuurstafel De implementatie van de NIS2 kan tot verdere versteviging van de risicogerichte aanpak van informatiebeveiliging leiden. Er is nu bijvoorbeeld nog variatie in definities van wat als een ‘kritiek‘ of ‘vitaal‘ systeem wordt gezien. Dat leidt tot verschillen in risicoanalyses en informatiebeveiligingsbeelden. De implementatie van de NIS2 zou kunnen leiden tot het opstellen van eenduidige definities van de belangrijkste processen en ITsystemen waarvoor de risico’s in beeld moeten zijn. Daarnaast expliciteert de NIS2-richtlijn bestuurlijke verantwoordelijkheid en aansprakelijkheid. Digitale veiligheid – van oudsher ‘iets voor techneuten’ – zal daardoor definitief een bestuurstafel-item worden. Tot voor kort werd nog wel lacherig gedaan over ‘spionnen’ en ‘hackers’. Maar ransomware-aanvallen en spionagezaken hebben bestuurders met de neus op de feiten gedrukt. De houding binnen het Rijk is mede daardoor veranderd. Wij zien dat de informatiebeveiligingsbeelden aan de bestuurstafel worden besproken. Maar als bestuurders niet alleen verantwoordelijk maar ook aansprakelijk zijn voor hun oordelen over de risico’s en benodigde acties, is er meer nodig. Een moderne bestuurder praat geïnformeerd mee, stelt de juisDO DO DO ACT ACT ACT
35 Online Touch Home