NIS2-implementatie impactvol voor Gemeente Midden-Groningen
NIS2 is ook een kans de veiligheid te verbeteren.
Nederlandse gemeenten staan voor de grote uitdaging de aangescherpte Europese cyberbeveiligingswet NIS2 te implementeren. De aangescherpte richtlijn voor versterking, eenheid en samenhang in de Europese aanpak van netwerk- en informatiebeveiliging, stelt dertien nieuwe eisen aan de beheersmaatregelen voor digitalisering en cybersecurity. De gemeente Midden-Groningen voorzag een grote impact op de gehele organisatie en is samen met BDO direct aan de slag gegaan.
Snel schakelen
Ben Meerveld is Concern Informatiebeveiligingsfunctionaris (CISO) en Programmamanager Informatieveiligheid & Privacybescherming bij de gemeente Midden-Groningen; een herindelingsgemeente (sinds 2018) met de voormalige gemeenten Hoogezand-Sappemeer, Slochteren en Menterwolde. Binnen deze gemeente is Ben verantwoordelijk voor de ontwikkeling van de informatieveiligheid en privacybescherming.
Als CISO maakt hij onderdeel uit van de het team Concern Control. Hij is van daaruit ‘onafhankelijk gepositioneerd’ in de organisatie. “Dat is belangrijk om mijn rol goed te kunnen uitoefenen”, vertelt Ben. “Als CISO is het belangrijk om me in alle lagen van de organisatie te begeven, mijn interne netwerk goed te onderhouden en snel te schakelen tussen alle niveaus. Dat werkt het beste in een onafhankelijke positie.”
Impact op organisatie
“We hebben op basis van de huidige BIO, ENSIA en accountscontrole al meerdere risicobeheersmaatregelen ingevoerd. Maar het was me al snel duidelijk dat de NIS2-richtlijn impact heeft op de hele organisatie, ook op de lange termijn. Als CISO vond ik het mijn verantwoordelijkheid om op tijd te starten met de voorbereiding, want er moet veel gebeuren. Het is onderdeel van mijn rol om tijdig te anticiperen op dit soort ontwikkelingen. Zodra bekend was dat NIS2 eraan zat te komen, heeft ons programmateam daar aandacht voor gevraagd binnen de organisatie”
Onderdeel van het programmaplan ‘Informatieveiligheid en Privacybescherming 2024’ was het in beeld brengen van de impact van de NIS2-wetgeving voor de gemeente organisatie van Midden-Groningen. “Wat zijn de belangrijkste bedreigingen en welke maatregelen moeten we de komende jaren nemen om aan die wetgeving te blijven voldoen? Kortom, we moesten een nulmeting doen, in combinatie met de concrete beheersmaatregelen, om voorbereid te zijn. Overigens kijken we daarbij niet alleen naar de NIS2, maar ook naar de nieuwe versie Baseline Informatieveiligheid Overheid (BIO), de ENSIA-verantwoording en de BIACS. Onze scope is dus breder dan alleen NIS2. We kijken hierbij integraal naar de diverse normenkaders.”
Samenwerking met BDO
“Na een marktverkenning zijn we met BDO in zee gegaan. We waren zoekende naar de betekenis van die wetgeving, hadden niet meer dan een beeld daarvan en zochten naar houvast. BDO kwam met het meest concrete voorstel qua aanpak en doorlooptijd. We zijn gestart met een kick-off binnen onze organisatie, waarbij we alle belangrijke stakeholders hebben betrokken, zoals de processeneigenaren. Het gaat immers om een verandering waarvoor het management verantwoordelijkheid moet nemen.”
‘’Na die kick-off hebben we onder leiding van BDO een dreigingsanalyse uitgevoerd met een groot deel van onze teamleiders. Daarna volgden er diverse interviews, gebaseerd op de beschikbare ‘bewijslast’ rondom de verantwoording van de beheersmaatregelen, die wij de afgelopen twee jaar hebben verzameld. Inmiddels bevinden we ons in de afrondende fase. Daarin ondersteunt BDO bij het opstellen van een concept-adviesrapportage, die binnenkort aan ons directieteam wordt opgeleverd.”
We waren zelf toch wel zoekende naar de betekenis van NIS2, hadden niet meer dan een beeld daarvan en zochten naar houvast.
Feitelijke veiligheid verhogen
De impact van NIS2 op de bestaande systemen en processen binnen de gemeente zal groot zijn, dat maakt de analyse wel duidelijk. Beheersmaatregelen implementeren voor bestaande systemen en processen lukt niet van vandaag op morgen. Ik verwacht dat we de komende paar jaar nodig hebben om NIS2 én BIO compliant te worden. Dankzij het advies van BDO kunnen we prioriteiten stellen. We hebben bovendien alle risico’s in kaart. Ik denk wel dat deze nieuwe richtlijnen helpen om de feitelijke informatieveiligheid binnen de overheid te verhogen. Deze wetgeving kan mij als CISO bovendien helpen om informatieveiligheid en privacybescherming nog beter georganiseerd en op een hoger te niveau te krijgen.”
Ben plaatst wel de kanttekening dat het pragmatisch moet blijven. “Vanwege onze verantwoordingsplicht ontkomen we er niet aan om zaken goed vast te leggen. Die administratieve last is ook een deel van de impact op de organisatie. Om een overkill aan vastlegging en verantwoording te voorkomen, ondersteunen wij alle betrokken teams zo veel mogelijk bij het verzamelen van bewijslast gedurende hun eigen proces, zodat ze uiteindelijk alleen maar informatie hoeven aan te leveren die al vastgelegd is.”
NIS2 is ook een kans de veiligheid te verbeteren
Nederlandse gemeenten staan voor de grote uitdaging de aangescherpte Europese cyberbeveiligingswet NIS2 te implementeren. De aangescherpte richtlijn voor versterking, eenheid en samenhang in de Europese aanpak van netwerk- en informatiebeveiliging, stelt dertien nieuwe eisen aan de beheersmaatregelen voor digitalisering en cybersecurity. De gemeente Midden-Groningen voorzag een grote impact op de gehele organisatie en is samen met BDO direct aan de slag gegaan.
Impact op organisatie
“We hebben op basis van de huidige BIO, ENSIA en accountscontrole al meerdere risicobeheersmaatregelen ingevoerd. Maar het was me al snel duidelijk dat de NIS2-richtlijn impact heeft op de hele organisatie, ook op de lange termijn. Als CISO vond ik het mijn verantwoordelijkheid om op tijd te starten met de voorbereiding, want er moet veel gebeuren. Het is onderdeel van mijn rol om tijdig te anticiperen op dit soort ontwikkelingen. Zodra bekend was dat NIS2 eraan zat te komen, heeft ons programmateam daar aandacht voor gevraagd binnen de organisatie”
Onderdeel van het programmaplan ‘Informatieveiligheid en Privacybescherming 2024’ was het in beeld brengen van de impact van de NIS2-wetgeving voor de gemeente organisatie van Midden-Groningen. “Wat zijn de belangrijkste bedreigingen en welke maatregelen moeten we de komende jaren nemen om aan die wetgeving te blijven voldoen? Kortom, we moesten een nulmeting doen, in combinatie met de concrete beheersmaatregelen, om voorbereid te zijn. Overigens kijken we daarbij niet alleen naar de NIS2, maar ook naar de nieuwe versie Baseline Informatieveiligheid Overheid (BIO), de ENSIA-verantwoording en de BIACS. Onze scope is dus breder dan alleen NIS2. We kijken hierbij integraal naar de diverse normenkaders.”
Kans om informatieveiligheid en privacybescherming te verbeteren
Mensen in alle geledingen van de organisatie bij het proces betrekken en draagvlak creëren, begint met bewustwording over cybersecurity. “De afgelopen twee jaar hebben we binnen onze organisatie veel aandacht besteed aan de bewustwordingskant. Dit thema is ook belegd, in de portefeuille van onze Privacy Officer. We hebben als voorbeeld korte, prikkelende cultuurfilmpjes gemaakt en meten de bewustwording ook jaarlijks. Op die manier houden we het onderwerp levend, zowel op bestuurs- als op medewerkersniveau, en kunnen we ook laten zien in hoeverre onze interventies op bewustwording effect sorteren.”
Het advies dat Ben aan collega’s van andere gemeenten wil meegeven, is drieledig. “Beschouw NIS2 niet alleen als een verplichting, maar juist ook als een kans om de informatieveiligheid en privacybescherming te verbeteren. Het is in die zin een heel mooi hulpmiddel. Ten tweede: start nu! Stel het niet uit. Zet nu al stappen om zaken in kaart te gaan brengen; begin in elk geval met een analyse en de voorbereiding op de implementatie. Breng de impact van de nieuwe richtlijnen in beeld, zodat je daar tijdig op bent voorbereid. Dat creëert ook de nodige rust in de organisatie, is mijn ervaring. En ten derde: zorg op alle lagen van de organisatie, en dan primair op managementniveau, voor voldoende draagvlak voor de analyse en implementatie van NIS2!”
Informatie is dé grondstof van het werk
‘’De consultants van BDO spreken de juiste taal, beheersen de materie, snappen wat de belangen zijn en kennen het krachtenveld binnen een gemeentelijke organisatie; ze begrijpen heel goed waarmee ik als CISO en programmamanager te dealen heb.” De samenwerking met BDO ervaart Ben als een partnership. Ik heb heel bewust naar zo’n partij gezocht, omdat we gezamenlijk de impact van de nieuwe richtlijnen voor onze organisatie moesten bepalen. We moesten de juiste informatie verzamelen om die analyse te kunnen maken. Dat is echt een klus die we samen moesten klaren. De meerwaarde van BDO is dan ook vooral dat we elkaar goed kunnen vinden en elkaars wereld goed begrijpen.
Meer weten?
De NIS2-richtlijn brengt nieuwe uitdagingen met zich mee voor organisaties, maar biedt ook kansen om de cyberweerbaarheid te verbeteren. Het is daarom belangrijk om deze uitdagingen nu al aan te pakken en niet te wachten tot de NIS2 in de Nederlandse wet is vertaald. Lees hier meer informatie.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.