Per 21 mei 2024 is de Cyberbeveiligingswet (Cbw) in consultatie gegaan. Dit geeft een inkijk in hoe de NIS2-richtlijn vertaald gaat worden naar nationale wetgeving.
Bestuurlijke verantwoordelijkheid vormt daarbij vaak een knelpunt, zo blijkt uit door ons uitgevoerde onderzoeken. Hoe krijgt dit invulling in de Cyberbeveiligingswet? En hoe verhoudt dit zich tot de praktijk bij overheidsinstellingen? In dit blog beschrijven we de belangrijkste knelpunten in de praktijk van overheidsinstellingen. En geven we drie tips voor het inrichten en nemen van bestuurlijke verantwoordelijkheid conform de cyberbeveiligingswet.
Wat staat er in de Cyberbeveiligingswet?
De Cbw stelt het bestuur van een belangrijke of essentiële entiteit verantwoordelijk voor het nemen van passende en evenredige maatregelen om cyberrisico’s te beheersen. Om hier goed invulling aan te geven, moeten leden van het bestuur beschikken over de kennis om risico’s in te schatten en de beheersmaatregelen en gevolgen van deze maatregelen te beoordelen. Om aan deze verplichting te kunnen voldoen, dienen zij binnen twee jaar na het ingaan van de Cbw of twee jaar na hun aantreden als bestuurslid een certificaat te behalen om aan te tonen dat dit het geval is. Ook moeten bestuursleden hun kennis actueel houden.
Met ‘bestuursleden’ duidt de Cbw in het geval van overheidsorganisaties op de leden van de ambtelijke leiding. In de memorie van toelichting wordt dit nogmaals verduidelijkt:
“Bij ministeries is de ambtelijke leiding belegd bij de bestuursraad, waar in elk geval de secretaris-generaal toe behoort. Bij provincies, gemeenten, waterschappen en gemeenschappelijke regelingen verschilt de benaming van de ambtelijke leiding; veelal wordt die aangeduid als directie of managementteam. Bij provincies, gemeenten en waterschappen maakt in elk geval de secretaris deel uit van de ambtelijke leiding.”
N.B. waar we hierna ‘bestuurders’ schrijven, bedoelen we bestuurders in de context van de Cbw zoals hiervoor uitgelegd.
In het kort kent de Cbw dus twee belangrijke aspecten:
- Ten eerste dat de verantwoordelijkheid voor de invulling van maatregelen ligt bij het bestuurlijke orgaan en dat bestuurders dus direct verantwoordelijk zijn voor de digitale veiligheid van hun organisatie.
- Ten tweede dat het bestuur verplicht is te beschikken over de kennis en kunde om goed invulling te geven aan deze verantwoordelijkheid.
Wat is de huidige praktijk bij overheidsinstellingen?
Interesse ontstaat pas als het fout gaat
De bestuurders zijn al verantwoordelijk voor de digitale veiligheid van hun organisatie. Uit onze onderzoeken blijkt echter dat zij nauwelijks blijk geven van interesse of besef rond informatiebeveiliging. Is dit besef wel aanwezig, dan noemen betrokken organisaties als oorzaak dat het een keer rampzalig fout is gegaan.
Tip 1: Organiseer op bestuursniveau (cyber)crisisoefeningen of strategische dilemmasessies zodat bestuurders geconfronteerd worden met de risico’s die ze lopen en zien wat er fout kan gaan. Op deze manier leren ze een goede risicoafweging te maken. Dit is ook belangrijk omdat een ‘opleiding met certificaat’ niet altijd de werkelijkheid weerspiegelt.
Beperkt overzicht
Logging en monitoring vormen eveneens onderdeel van de Cbw. Binnen organisaties signaleren wij versnippering van de IT-landschappen, bijvoorbeeld doordat decentrale afdelingen hun eigen logging- en monitoringsystemen hebben. Bij andere organisaties zijn de kritieke applicaties nog niet eens aangesloten. Zonder goede, kwalitatieve overzichten van de beveiligingsrisico's binnen organisaties kunnen ambtenaren bestuurders niet van de kennis en kunde voorzien die bestuurders nodig hebben om hun verantwoordelijkheden rond cybersecurity goed invulling te geven.
Tip 2: Zorg voor overzicht, bijvoorbeeld via GRC (Governance Risk & Compliance)-tooling, en neem daarin ook kwesties als privacy, informatiebeheer en eventueel AI mee. GRC-tooling geeft inzicht in hoe logging, monitoring en dergelijke per systeem zijn ingeregeld. Op die manier wordt het integrale beeld van de stand van zaken beter bewaakt en kunnen bestuurders een weloverwogen risicoafweging maken. Zorg voor samenwerkingen met deze afdelingen en trek samen op.
Ontoereikende communicatie
Binnen organisaties ontbreekt het vaak aan directe communicatielijnen tussen de informatiebeveiligingsspecialisten (bijvoorbeeld CISO) en het ambtelijke niveau. Ook zijn de processen niet ingericht op rapportage aan de bestuurders over informatiebeveiliging. De communicatiemogelijkheden zijn doorgaans trapsgewijs ingericht. Bij gemeenten praat bijvoorbeeld de CISO met de CIO, de CIO met de directeur, en de directeur pas met de gemeentesecretaris. Deze inefficiënte communicatie staat bijna gelijk aan geen communicatie.
Tip 3: De BIO 2.0 geeft geen richtlijnen voor de communicatielijnen tussen bestuur en CISO. Wij adviseren te zorgen voor directe communicatielijnen tussen CISO en bestuurders. Richt een proces in waarbij een bestuurder periodiek en wanneer nodig onmiddellijk op de hoogte wordt gehouden van de stand van de informatiebeveiliging in de organisatie.
Ondersteuning op maat
Door de Cbw krijgen bestuurders een belangrijkere rol ten aanzien van informatiebeveiliging; in sommige gevallen zijn zij nu eindverantwoordelijke. Adviseurs zoals de CISO, ISO, security- en risk-professionals kunnen bij de invulling van deze rol ondersteunen en adviseren. Bestuurders dienen echter wel te beschikken over een zekere basiskennis. In dat licht kan het zinvol zijn bij bewustwordingsprogramma’s nadrukkelijk onderscheid te maken in doelgroepen en bestuurders als aparte doelgroep aan te merken. Op die manier kunnen ze op maat ondersteund of bewust gemaakt worden.
Meer weten over de invulling van de NIS2 en Cyberbeveiligingswet binnen uw eigen organisatie of doorpraten over het verbeteren van informatiebeveiliging, privacy, weerbaarheid of continuïteit in het algemeen? Neem gerust contact met ons op!