Een uniforme informatieveiligheidstaal!

Van de BIG, de BIC, de BIR, de IBI en de BIWA naar de BIO. De baselines informatieveiligheid voor Gemeenten, het Rijk, Waterschappen, Provincies en Corporaties worden in 2018 vervangen door de baseline informatie overheid, beter bekend als de BIO. Daarmee nemen we rigoureus afstand van de sectorspecifieke richtlijnen.

Van de BIG, de BIC, de BIR, de IBI en de BIWA naar de BIO. De baselines informatieveiligheid voor Gemeenten, het Rijk, Waterschappen, Provincies en Corporaties worden in 2018 vervangen door de baseline informatie overheid, beter bekend als de BIO. Daarmee nemen we rigoureus afstand van de sectorspecifieke richtlijnen. Hoe blijft u praktische beheersmaatregelen treffen én dezelfde taal spreken met andere overheidsorganisaties?

Laten we praktisch beginnen bij het begin: Wat is een baseline? Een baseline is een hulpmiddel om als overheidsorganisatie aan de informatieveiligheidseisen te voldoen. Een baseline klinkt rigide, maar er is wat speelruimte in de maatregelen: het comply of explain principe. Dat betekent dat u moet voldoen aan de baseline, mits er een goede reden is om dat niet te doen. Wanneer een gemeente een loket voor inwoners heeft, zullen aanvullende afspraken moeten worden gemaakt over de informatie die in deze ruimte door medewerkers wordt gedeeld. Ministeries zullen hier in mindere aanpassingen voor moeten doen.

Daarnaast komt bij het voldoen aan de baseline ook de volgende vraag kijken: Hoe verhoudt de baseline zich tot de NEN en ISO normen? Daar kunnen we kort over zijn. De bestaande én toekomstige baselines zijn gebaseerd op de NEN-ISO/IEC 27001 en de NEN-ISO/IEC 27002 normen. Geen van deze richtlijnen zijn op dit moment verplicht. De ISO of IEC is een internationaal ontwikkelde norm. De Europese lidstaten hebben zich gecommitteerd aan Europese Normen (EN) Voor de Nederlandse markt worden de toegespitste EN normen aangeduid als NEN. Normalisatie instituten zijn verplicht om de Europese normen nationaal over te nemen. Kortom, ISO-IEC is een internationale norm. De (N)EN is een Europese norm en een baseline is een toepassingskader van deze normen.

Het grootste nadeel dat u als overheidsinstantie zult ondervinden met de BIO is dat de nieuwe baseline niet tot de verbeelding zal spreken binnen de organisatie, omdat het niet meer specifiek voor een overheidslaag geschreven is. Met de huidige ontwikkelingen waarin het uitwisselen van gegevens tussen overheden steeds belangrijker wordt, zoals bij de Omgevingswet, is het noodzakelijk om meer en meer dezelfde taal te spreken. Dat geldt dus ook voor richtlijnen voor informatieveiligheid. Toch is het van belang om ook concrete informatieveiligheidsmaatregelen te treffen, zoals bij het loket van de gemeente.

Concluderend is de BIO van internationaal niveau (ISO-IEC), genationaliseerd (NEN-EN) en toegespitst op de Nederlandse publieke sector (Baseline). De BIO is een baseline die van wereldwijd niveau specifiek is gemaakt voor de Nederlandse overheid. In dat licht, hebben we al heel wat gewonnen. Echter is het voor een overheidsorganisatie geen sinecure om dezelfde informatieveiligheidstaal te spreken tussen overheden en binnen overheden elkaar nog te begrijpen. Bewustwording over informatieveiligheid binnen de organisatie en de verbinding leggen tussen medewerkers en bestuurders zijn hierbij essentieel, maar blijken in de praktijk een grote uitdaging. Daarover in ons volgende blog meer!