Bedrijfsvoering

Informatiebeveiliging

In een optimaal functionerende gemeente zijn digitale informatie en informatiesystemen van essentieel belang. De kwaliteit van dienstverlening en bedrijfsvoering hangt sterk af van de goede beschikbaarheid en toegankelijkheid van informatiesystemen, evenals de betrouwbaarheid van de opgeslagen gegevens. Binnen de organisatie is steeds meer bewustwording voor onze informatieveiligheid. De implementatie van maatregelen om onze weerbaarheid te behouden loopt volgens planning.
Het Nationaal Cyber Security Centrum en de landelijke Informatiebeveiligingsdienst voor gemeenten geven aan dat cybercriminaliteit en daarmee de risico’s op verstoring van ICT als gevolg van een cyberaanval onverminderd hoog zijn. Om onze weerbaarheid op het gebied van informatieveiligheid en cybersecurity te verhogen volgen we de landelijke Baseline Informatiebeveiliging Overheid (BIO).

Via onze roadmap informatiebeveiliging onderhouden we bestaande en implementeren we nieuwe verplichte organisatorische en technische maatregelen. Alleen al het verplichte deel van de BIO en NIS2 vraagt komende jaren een impuls. Een extra structurele investering is nodig om ook voor de nabije toekomst onze weerbaarheid op het gebied van informatieveiligheid te behouden. Hierbij gaat het om een investering in mensen (FTE) en middelen waaronder beveiligingssoftware. Deze structurele investering is nodig om onze digitale informatievoorziening te beschermen tegen toenemende en steeds effectievere cyberaanvallen en te voldoen aan de wettelijke verplichten en audits.

Wat hebben we in 2024 gedaan?

1. We implementeerden Monitoring en Response. Met deze oplossing worden digitale inbreuken of incidenten vroegtijdig opgemerkt en ondervangen. Hierdoor kunnen incidenten worden voorkomen of de impact ervan sneller kan worden bepaald, zodat direct mitigerende maatregelen kunnen worden genomen.
2. Vergroten van informatiebeveiliging en privacy bewustzijn en van de medewerkers en management. We gebruikten Sir Askalot om de bewustwording van informatiebeveiliging en privacy onder medewerkers te vergroten. Ook gaven we presentatie gehouden om het bewustzijn verder te vergroten. Om het bewustzijn bij het management te vergroten, hebben we in november een Table Top oefening georganiseerd.
3. We startten met de implementatie van een Information Security Management System (ISMS). Er zijn security analyses uitgevoerd. Het maken van een keuze voor een geschikte tool heeft langer geduurd dan gepland. Doordat het maken van een keuze voor een geschikte tool lang heeft geduurd, is het niet gelukt om de implementatie te laten plaatsvinden in 2024. De implementatie zal in 2025 worden uitgevoerd.
4. Verantwoording afleggen over informatieveiligheid en privacy (ENSIA). ENSIA is een jaarlijks terugkerend Audit. ENSIA 2024 is succesvol afgerond, rapportages zijn met de directie en college gedeeld.
5. Uitwerken van een voorstel om de informatiebeveiliging nog meer toekomstbestendig te maken. Daarbij volgen wijde landelijke richtlijnen van het NCSC en VNG/IBD. Naar aanleiding van de nieuwe wet- en regelgeving, de Cyberbeveiligingswet (Cbw), zullen we in 2025 ons informatiebeveiligingsbeleid en alle bijbehorende documenten actualiseren. Ook ons meerjarenplan informatieveiligheid wordt dan herzien.