Bestuurders moeten informatiebeveiliging serieus gaan nemen

Afgelopen week is de Taskforce Bestuur en Informatieveiligheid Dienstverlening officieel van start gegaan. Deze gaat de komende twee jaar vooral bestuurders 'informatiebeveiligingsbewustzijn' bijbrengen.

Bewustzijn en sturing
De door minister Plasterk in het leven geroepen taskforce BID moet de technische kant van de informatiebeveiliging overstijgen. Voor dat laatste aspect van beveiliging zijn er al institituten als de NCSC en de Gemeentelijke Informatiebeveiligingsdienst (IBD) in het leven geroepen. Maar geen veiligheid zonder bewustzijn van - en sturing op - de risico's rond informatieveiligheid, is de gedachte achter de taskforce. En dat bewustzijn moet vooral bij bestuurders postvatten.

'Verplichtende zelfregulering'
De Taskforce BID zal twee jaar lang de verschillende bestuurslagen gaan helpen met hun informatiebeveiliging, in samenwerking met het Nationaal Cyber Security Centrum (NCSC). Ministeries, gemeenten, provincies, waterschappen en ZBO's blijven wel zelf verantwoordelijk; 'verplichtende zelfregulering' is het uitgangspunt. Mocht die zelfregulering niet lukken, dan komt Plasterk met wetgeving rond informatiebeveiliging.

Verankeren

"Het moet wel blijvend zijn, anders is het wachten op het volgende incident", zegt Henk Wesseling, kwartiermaker van de taskforce, die bij ICTU is ondergebracht. Hij benadrukt dat de verschillende koepels, zoals VNG en IPO, zelf voor programma's moeten zorgen die de informatieveiligheid verankert in het bewustzijn van de bestuurders en managers. Dat de VNG sinds begin dit jaar al een Informatiebeveiligingsdienst (IBD) heeft helpt alleen maar. "De Taskforce gaat die IBD helpen om de programmering in een overzienbare periode vorm te geven." Kijken of die 'verankering' echt gebeurt is ook de verantwoordelijkheid van de koepels, maar "we gaan er wel aan trekken dát het ook gebeurt." Soms zal de Taskforce het initiatief moeten nemen, soms de koepel, verwacht hij.

Maatregelen
De VNG heeft in maart al enkele bijeenkomsten gepland voor bestuurders, managers en ICT-verantwoordelijken. Over twee jaar moet per overheidslaag de informatiebeveiliging middels ISO-standaarden zijn vastgelegd en verankerd. Het moet vooral steeds duidelijk zijn wie er verantwoordelijk is. Er moet dan ook een auditing-mechanisme zijn ingericht. Verder moet elke overheidsorganisatie trainingen op het gebied van informatieveiligheid hebben geregeld voor bestuur, management en ICT-functionarissen. Er komt ook een verplichting voor overheden om verstoringen van ICT-systemen te melden bij een toezichthouder of het NCSC.