Nederlandse gemeenten staan voor de grote uitdaging de aangescherpte Europese cyberbeveiligingswet NIS2 te implementeren. De aangescherpte richtlijn voor versterking, eenheid en samenhang in de Europese aanpak van netwerk- en informatiebeveiliging, stelt dertien nieuwe eisen aan de beheersmaatregelen voor digitalisering en cybersecurity. De gemeente Midden-Groningen voorzag een grote impact op de gehele organisatie en is samen met BDO direct aan de slag gegaan.

Impact op organisatie
“We hebben op basis van de huidige BIO, ENSIA en accountscontrole al meerdere risicobeheersmaatregelen ingevoerd. Maar het was me al snel duidelijk dat de NIS2-richtlijn impact heeft op de hele organisatie, ook op de lange termijn. Als CISO vond ik het mijn verantwoordelijkheid om op tijd te starten met de voorbereiding, want er moet veel gebeuren. Het is onderdeel van mijn rol om tijdig te anticiperen op dit soort ontwikkelingen. Zodra bekend was dat NIS2 eraan zat te komen, heeft ons programmateam daar aandacht voor gevraagd binnen de organisatie”

Onderdeel van het programmaplan ‘Informatieveiligheid en Privacybescherming 2024’ was het in beeld brengen van de impact van de NIS2-wetgeving voor de gemeente organisatie van Midden-Groningen. “Wat zijn de belangrijkste bedreigingen en welke maatregelen moeten we de komende jaren nemen om aan die wetgeving te blijven voldoen? Kortom, we moesten een nulmeting doen, in combinatie met de concrete beheersmaatregelen, om voorbereid te zijn. Overigens kijken we daarbij niet alleen naar de NIS2, maar ook naar de nieuwe versie Baseline Informatieveiligheid Overheid (BIO), de ENSIA-verantwoording en de BIACS. Onze scope is dus breder dan alleen NIS2. We kijken hierbij integraal naar de diverse normenkaders.”

Kans om informatieveiligheid en privacybescherming te verbeteren
Mensen in alle geledingen van de organisatie bij het proces betrekken en draagvlak creëren, begint met bewustwording over cybersecurity. “De afgelopen twee jaar hebben we binnen onze organisatie veel aandacht besteed aan de bewustwordingskant. Dit thema is ook belegd, in de portefeuille van onze Privacy Officer. We hebben als voorbeeld korte, prikkelende cultuurfilmpjes gemaakt en meten de bewustwording ook jaarlijks. Op die manier houden we het onderwerp levend, zowel op bestuurs- als op medewerkersniveau, en kunnen we ook laten zien in hoeverre onze interventies op bewustwording effect sorteren.”

Het advies dat Ben aan collega’s van andere gemeenten wil meegeven, is drieledig. “Beschouw NIS2 niet alleen als een verplichting, maar juist ook als een kans om de informatieveiligheid en privacybescherming te verbeteren. Het is in die zin een heel mooi hulpmiddel. Ten tweede: start nu! Stel het niet uit. Zet nu al stappen om zaken in kaart te gaan brengen; begin in elk geval met een analyse en de voorbereiding op de implementatie. Breng de impact van de nieuwe richtlijnen in beeld, zodat je daar tijdig op bent voorbereid. Dat creëert ook de nodige rust in de organisatie, is mijn ervaring. En ten derde: zorg op alle lagen van de organisatie, en dan primair op managementniveau, voor voldoende draagvlak voor de analyse en implementatie van NIS2!”

Informatie is dé grondstof van het werk
‘’De consultants van BDO spreken de juiste taal, beheersen de materie, snappen wat de belangen zijn en kennen het krachtenveld binnen een gemeentelijke organisatie; ze begrijpen heel goed waarmee ik als CISO en programmamanager te dealen heb.” De samenwerking met BDO ervaart Ben als een partnership. Ik heb heel bewust naar zo’n partij gezocht, omdat we gezamenlijk de impact van de nieuwe richtlijnen voor onze organisatie moesten bepalen. We moesten de juiste informatie verzamelen om die analyse te kunnen maken. Dat is echt een klus die we samen moesten klaren. De meerwaarde van BDO is dan ook vooral dat we elkaar goed kunnen vinden en elkaars wereld goed begrijpen.

Feitelijke veiligheid verhogen
De impact van NIS2 op de bestaande systemen en processen binnen de gemeente zal groot zijn, dat maakt de analyse wel duidelijk. Beheersmaatregelen implementeren voor bestaande systemen en processen lukt niet van vandaag op morgen. Ik verwacht dat we de komende paar jaar nodig hebben om NIS2 én BIO compliant te worden. Dankzij het advies van BDO kunnen we prioriteiten stellen. We hebben bovendien alle risico’s in kaart. Ik denk wel dat deze nieuwe richtlijnen helpen om de feitelijke informatieveiligheid binnen de overheid te verhogen. Deze wetgeving kan mij als CISO bovendien helpen om informatieveiligheid en privacybescherming nog beter georganiseerd en op een hoger te niveau te krijgen.”

Ben plaatst wel de kanttekening dat het pragmatisch moet blijven. “Vanwege onze verantwoordingsplicht ontkomen we er niet aan om zaken goed vast te leggen. Die administratieve last is ook een deel van de impact op de organisatie. Om een overkill aan vastlegging en verantwoording te voorkomen, ondersteunen wij alle betrokken teams zo veel mogelijk bij het verzamelen van bewijslast gedurende hun eigen proces, zodat ze uiteindelijk alleen maar informatie hoeven aan te leveren die al vastgelegd is.”

Samenwerking met BDO
“Na een marktverkenning zijn we met BDO in zee gegaan. We waren zoekende naar de betekenis van die wetgeving, hadden niet meer dan een beeld daarvan en zochten naar houvast. BDO kwam met het meest concrete voorstel qua aanpak en doorlooptijd. We zijn gestart met een kick-off binnen onze organisatie, waarbij we alle belangrijke stakeholders hebben betrokken, zoals de processeneigenaren. Het gaat immers om een verandering waarvoor het management verantwoordelijkheid moet nemen.”

‘’Na die kick-off hebben we onder leiding van BDO een dreigingsanalyse uitgevoerd met een groot deel van onze teamleiders. Daarna volgden er diverse interviews, gebaseerd op de beschikbare ‘bewijslast’ rondom de verantwoording van de beheersmaatregelen, die wij de afgelopen twee jaar hebben verzameld. Inmiddels bevinden we ons in de afrondende fase. Daarin ondersteunt BDO bij het opstellen van een concept-adviesrapportage, die binnenkort aan ons directieteam wordt opgeleverd.”