Gemeenten hanteren vanaf 1 januari 2020 samen met de rijksoverheid, de waterschappen en de provincies één uniform normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). Deze BIO is een ‘update’ van de BIG en net als de huidige baseline gebaseerd op de internationale ISO27001/2-standaard.
Verandering voor gemeenten: Risicomanagement centraal
De BIO betekent een verandering voor gemeenten. De maatregelen die reeds in het kader van de BIG zijn getroffen voldoen in principe ook voor de BIO. Ten opzichte van de BIG zijn bijna 200 maatregelen niet meer genoemd. Gemeenten krijgen namelijk met de BIO meer ruimte om vanuit risicomanagement de voor hen relevante maatregelen te treffen. De maatregelen die in de BIO nog wel zijn genoemd gelden als verplicht voor alle overheden.
Om nadere invulling te geven aan risicomanagement zijn door de IBD ‘De 10 bestuurlijke principes voor informatiebeveiliging’ ontwikkeld. De BIO positioneert de bestuurder en het management sterker in de rol waarin hij of zij meer risico-gebaseerd stuurt op het gebied van informatieveiligheid.
ENSIA aangepast
Voor de jaren 2018 en 2019 verantwoorden gemeenten zich nog over de BIG. Voor het jaar 2020 zal ENSIA zijn aangepast aan de BIO. In het voorjaar van 2019 wordt de ENSIA vragenlijst aangepast en in een pilot ter beschikking gesteld aan een aantal gemeenten en toezichthouders.
Ondersteuningsproducten voor gemeenten van de IBD
2019 is een overgangsjaar waarin gemeenten zich kunnen voorbereiden op de BIO. Voor de inrichting van informatiebeveiligingsmaatregelen kunnen gemeenten gebruik maken van de ondersteuningsproducten van de IBD. De bestaande producten worden momenteel aangepast aan de BIO en komen in het eerste halfjaar van 2019 beschikbaar. Overige implementatieondersteuningsproducten, zoals een quickscan, worden voor de gezamenlijke overheidslagen onder regie van het rijk ontwikkeld en door de IBD toepasbaar gemaakt voor gemeenten. Aanvullend ontwikkelt de VNG een ondersteuningsprogramma gericht op het management en het bestuur van gemeenten.
Met het ondersteuningsprogramma van de VNG/IBD zijn gemeenten in staat om per 1 januari 2020 volgens de BIO te werken. In regionale bijeenkomsten en door middel van gerichte mailings zal de IBD de informatiebeveiligingsfunctionarissen (CISO’s) van gemeenten doorlopend informeren.
Standaardisering van de BIO
In de buitengewone algemene ledenvergadering hebben gemeenten ingestemd met het proces van standaardverklaring. Het College van Dienstverleningszaken (CvD), dat het VNG Bestuur adviseert over standaarden voor de gemeentelijke uitvoering, heeft positief advies afgegeven over standaardisering. De BIO is interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO).
Meer informatie en vragen
Meer informatie over de BIO treft u op de projectpagina van de IBD. Voor vragen over de BIO kunt u een e-mail sturen aan info@IBDGemeenten.nl. Voor meer informatie over standaarden en het standaardiseringsproces kunt u een e-mail sturen aan samenorganiseren@VNG.nl.
Zie ook het nieuwsbericht en de tien bestuurlijke principes op VNG.nl