Podium te vragen over de aanpak van informatiebeveiliging, stimuleert samenwerking en samenhang, stelt de juiste middelen beschikbaar, zorgt dat er resultaat wordt behaald en is transparant over belang, aanpak en resultaat. Meldplicht: incidentmanagement en oefenen Dat er informatiebeveiligingsincidenten plaatsvinden is een gegeven. ‘100 procent veilig’ is een utopie. Hoe op incidenten wordt gereageerd is vers twee. Het laagdrempelig kunnen melden van incidenten is van belang. Niet alleen om centraal zicht te kunnen houden op bredere ontwikkelingen; bijvoorbeeld nieuwe manieren van phishing. Maar ook omdat grote calamiteiten soms beginnen met kleine signalen. De Algemene Rekenkamer constateerde de afgelopen jaren dat het Rijk bij informatiebeveiliging meer volwassen werd in het incidentmanagement. De processen voor het opschalen in het geval van crisis waren daarbij een belangrijk verbeterpunt. In de praktijk bleken de benodigde lijntjes zonder heldere afspraken ad hoc wel gelegd te worden. Maar duidelijke afspraken over bijvoorbeeld criteria voor het op- en afschalen, versnellen het proces en maken dat alle betrokken weten hoe te handelen. Andere tekenen van toenemende volwassenheid bij overheidsorganisaties zijn dat ze hun cyberweerbaarheid op de proef stellen met pentesten en hun reactie op een cybercrisis oefenen. Daarbij kiezen organisaties nog wel eens direct voor een dure, geavanceerde test. Maar een volledige red teamingaanpak is duur en ongericht als het inzicht in de eigen systemen nog beperkt is en/of de organisatie nog weinig structuren kent om gevonden zwakke plekken aan te pakken. CIO Rijk heeft daarom een keuzekaart ontwikkeld die organisaties kan helpen een gerichte afweging te maken in voorwaarden, doel en kosten van een securitytest. Gedeelde verantwoordelijkheid De NIS2 brengt strengere veiligheidseisen voor meer overheidsorganisaties met zich mee. De veiligheidslat komt op papier weer een stukje hoger te liggen. De les van rekenkameronderzoek naar risico- en incidentmanagement is dat oog voor de uitvoering van beleid bij de implementatie van de NIS2 cruciaal is. Alleen met aanhoudende zorg en aandacht kan de overheid NIS2 zó laten werken dat de veiligheid ook feitelijk verhoogd wordt. Bijvoorbeeld via verheldering en stroomlijning van definities, geïnformeerde gesprekken aan de bestuurstafel en gerichter oefenen met dreigingen. Maar ook aandacht voor ketenrisico’s, zoals opgenomen in de NIS2, is noodzakelijk. Digitale beveiliging moet een gedeelde verantwoordelijkheid zijn. Niet alleen binnen afzonderlijke organisaties, maar ook in ketens en in de context van een departement met al zijn dienstonderdelen en private partijen. Dat vergt verbinding zoeken, onderling kennis halen en kennis brengen. De omgang met het Log4j-incident (een kwetsbaarheid in veelgebruikte log-software) maakte in 2021 en 2022 duidelijk dat onderlinge samenwerking binnen het Rijk en samenwerking met private organisaties mogelijk is en veel oplevert. Het is duidelijk dat informatiebeveiligingsincidenten een permanente last vormen: we moeten altijd alert zijn en af en toe zijn er brandjes. De ‘brandbestrijding’ moet regulier worden en aansluiten op de bestaande crisisstructuren. De implementatie van de NIS2 kan dat proces verbeteren en versnellen. Nummer 49, januari 2024 35 Ransomwareaanvallen en spionagezaken hebben bestuurders met de neus op de feiten gedrukt
36 Online Touch Home