IBD publiceert aanpak 'cyberteam'

De Informatiebeveiligingsdienst (IBD) van de VNG publiceert een samenhangende aanpak voor gemeenten om hun informatiebeveiliging- en privacyteam (IB en P-team) op sterkte kunnen brengen. Dit is een team van experts dat paraat staat om (top)ambtenaren en het gemeentebestuur van advies te voorzien ‘voor de uitdagingen van morgen’.

Ransomeware en NIS2

Die uitdagingen zijn groot, want Nederlandse gemeenten staan in toenemende mate onder druk van de dreiging van ransomware-aanvallen. Dat constateert de IBD in haar tweejaarlijkse Dreigingsbeeld informatiebeveiliging 2023-2024. Bovendien is er nieuwe, strengere wetgeving op komst, de NIS2-richtlijn, waarin gemeenten een grote verantwoordelijkheid voor cybersecurity krijgen.

Opgave voor kleine gemeenten

Een IB en P-team kan alleen zinvol rapporteren aan het bestuur als het over de juiste competities en voldoende middelen beschikt, aldus Ester Weststeijn, lid van de IBD adviesraad en vicevoorzitter van de K80, het netwerk van kleine gemeenten. ‘Dat is met name voor kleine gemeenten best een opgave. Het is dus essentieel dat gemeenten samenwerken en ook op dit vlak de krachten bundelen.’

Handreikingen

De samenhangende aanpak van de IBD bestaat uit diverse handreikingen, waaronder een handreiking om strategisch beleid op te stellen, eentje om het team op sterkte te krijgen, functieprofielen voor een Functionaris Gegevensbescherming (FG), een Privacy Officer (PO) en voor de Chief Information Security Officer (CISO), de (Domein / Decentrale) Information Security Officer (D)ISO) en Technical Information Security Officer (TISO).

Een poster geeft schematisch weer hoe een goede inrichting eruit ziet. Met behulp van het Dreigingsbeeld, de eigen strategie en de handreiking Strategisch IB en P beleid komt de gemeente tot een strategisch IB en P-beleid. De handreiking Team op sterkte leidt tot een eigen plan om een sterk team samen te stellen en van de juiste ondersteuning te voorzien. De diverse handreikingen voor functieprofielen bieden handvaten om eigen functieprofielen voor het team op te stellen en taken te verdelen.  

Maatwerk

De IBD benadrukt dat de aanpak om tot het team te komen per gemeente kan verschillen. ‘Het is geen one size fits all,' benadrukt Nausikaä Efstratiades, hoofd IBD; ‘iedere gemeente is anders, het is maatwerk.’ Zo moeten gemeenten die een grote informatiebeveiligingsorganisatie nodig hebben, de taken voor gemeentelijke informatiebeveiligingsfuncties waarschijnlijk toewijzen aan meerdere personen op verschillende niveaus. Ook hiervoor biedt de handreiking een leidraad.