Acties prioriteiten 2.5

Invoeren van een wettelijke zorgplicht voor informatiebeveiliging, meldplicht en een toezichtsregime voor de gehele overheid.

• Actualisatie van de uitvoering van het ondersteuningsprogramma BIO.
• Verantwoordings- systematiek vervat in de Eenduidige Normatiek Single Information Audit (ENSIA) is doorontwikkeld. Er zijn stappen gezet op het horizontaal en verticaal organiseren van toezicht met de BIO als basis.
• Er is een herziene BIO (opmaat BIO is opgeleverd in 2023) die wettelijk verankerd is in NIS2.
• Via pilots is er inzicht naar de toegevoegde waarde van een IT-verslag en IT-auditverklaring binnen de overheid.
• Indicatoren die de ambitie omtrent feitelijke veiligheid meten worden gemonitord en getoond op basisbeveiliging.nl, open source tot stand gekomen. Overheidsorganisaties kunnen zich hieraan spiegelen en optrekken.

Uitvoerders: BZK, JenV, diverse departementen, medeoverheden, CIP

Coördinatie Rijksbrede strategie voor internationaal cyberbeleid.

• Activiteiten zijn in lijn met de internationale Cyberstrategie, waarbij wordt gekeken naar internationale veiligheid, mensenrechten en rechtsstaat online.

Uitvoerders: BZ, EZK, JenV, BZK, DEF, medeoverheden en overheidsdiensten (AIVD, MIVD, NCSC, NCTV, OM en de Nationale Politie)

• De tool inkoopeisen cybersecurity overheid is doorontwikkeld, verbreed en geïmplementeerd.

Uitvoerders: BZK, EZK, medeoverheden, CIP

Aanbieden eigen domein zodat betrouwbare websites makkelijker herkenbaar worden voor burgers.

• Aanbod overheidsbrede extensie voor overheden, volgt eerst voor het Rijk.
• Transitieplan domeinextensies overheid opstellen met alle overheden. Daarna gefaseerd implementeren, te starten met het Rijk.
• Eerste gebruik extensie.

Uitvoerders: BZK, AZ

• Contactpunt ingericht waar burgers en bedrijven terecht kunnen met vragen over veiligheid van overheidswebsites.

Uitvoerders: BZK, AZ/DPC, KOOP

Faciliteren van jaarlijkse overheidsbrede oefeningen (vanuit I-strategie Rijk).

• Jaarlijkse overheidsbrede cyberoefening met gesimuleerde hackaanvallen.
• Oplevering gereedschapskist red teaming.
• (Start) uitvoering red-teamtesten door departementen.
• Interdepartementale kennisdeling omtrent red-teamtesten georganiseerd.

Uitvoerders: BZK, JenV

Zorgen voor een hulpfunctie op informatiebeveiliging en privacy voor overheden.

• Verdere stappen om de uitbreiding en doorontwikkeling van de service Informatiebeveiliging & Privacy te verlengen en actualiseren. Eerste overheden krijgen maatwerkadviezen van professionals bij de overheid over digitale veiligheid en privacy.

Uitvoerders: BZK, CIP

Versterken van de detectie en respons capaciteiten van Rijksoverheidsorganisaties.

• Alle relevante Rijksoverheid-organisaties zijn aangesloten op het Nationaal Detectie Netwerk.
• Eerste Security Operations Center (SOC)-producten op het gebied van monitoring & detectie, vulnerability management en samenwerken & informatiedeling zijn beschikbaar.

Uitvoerders: BZK, JenV

Versterken van proactieve informatiebeveiligingsmaatregelen gericht op de Te Beschermen Belangen van de Rijksoverheid.

• Rijksbreed beleid voor een verplichte basisopleiding digitale weerbaarheid is vastgesteld.
• Jaarlijkse vraaggestuurd onderzoek van de ADR naar informatiebeveiliging is uitgevoerd.
• Instrumenten gereed ten behoeve van bescherming tegen ransomware.
• Eerste stap quantum-awarenessprogramma voor primaire doelgroepen uitgevoerd.
• Quantumveilig cryptobeleid vastgesteld.
• Inrichten proces dat zorgt voor crypto-middelen voor bescherming van staatsgeheime informatie bij de Rijksdienst op de lange termijn.
• Vastgesteld beleid en implementatiekader voor risicomanagement voor digitale weerbaarheid.

Uitvoerder: BZK

Zorgen dat mobiele devices, uitgereikt aan ambtenaren in dienst van de rijksoverheid zo zijn ingericht dat er alleen vooraf toegestane apps, software en/of functionaliteiten kunnen worden geïnstalleerd en gebruikt.

•  Allowlisting: bepaald is welke apps door Rijksambtenaren gebruikt mogen worden.
• Vastgestelde procedure voor invoering van managed devices.
• Beleidskader appbeleid opgesteld en gestart met implementatie.
• Gedragsregeling “Digitale Werkomgeving Rijk” is aangepast.

Uitvoerders: BZK, in afstemming en samenwerking met de departementen en ‘faciliterende organisaties’