Op welke manier maken overheden gebruik van testen en oefenen ten behoeve van de informatieveiligheid? En welke knelpunten ervaren zij? Het ministerie van BZK liet dit onderzoeken door de Haagse Hogeschool en ICTU. Met de uitkomsten van het onderzoek kan het testen en oefenen bij medeoverheden (verder) gestimuleerd worden.
Kernvragen
Testen en oefenen zijn essentiële onderdelen van informatiebeveiliging. Door te testen en te oefenen ontstaat zicht op kwetsbaarheden in de techniek en organisatie. In het onderzoek staan de volgende vragen centraal:
- Wat is de huidige situatie van testen en oefenen bij medeoverheden?
- Welke knelpunten ervaren overheden?
- Hoe kan men deze knelpunten aanpakken?
- Hoe kan testen en oefenen een betere plek krijgen op de bestuurlijke agenda?
- Welke rol spelen BZK, de sectoren, koepels en het CIP hierbij?
Huidige en gewenste situatie
Het adviesrapport schetst allereerst de huidige situatie op het gebied van testen en oefenen. Hoe staat het met de BIO, is er genoeg bestuurlijke aandacht en welke verschillen tussen medeoverheden zijn er? Vervolgens doen de onderzoekers aanbevelingen om het testen en oefenen verder te stimuleren.
Aanbevelingen
Een greep uit de aanbevelingen:
- Gebruik testen en oefenen als instrumenten waarmee medeoverheden kunnen aantonen te voldoen aan de NIS2-richtlijn.
- Regel eigenaarschap voor informatiebeveiliging door de organisatie heen.
- Maak informatiebeveiliging een integraal onderdeel van de jaarplancyclus.
- Werk samen met andere medeoverheden om de beschikbare menskracht en expertise voor testen en oefenen beter in te zetten.
- Gebruik audits als middel om informatiebeveiliging op de bestuurlijke agenda te krijgen.
- Ondersteun CISO’s bij het agenderen van informatiebeveiliging bij de directie en het bestuur. Maak hierbij gebruik van bestaande kennisproducten en kennispartners.
Meer informatie
Het adviesrapport beschrijft een flink aantal verbeterpunten en goede voorbeelden vanuit de praktijk. Deze zijn te vinden in de paragrafen over de ‘gewenste situatie’. Een volledig overzicht van alle goede voorbeelden staat in Bijlage D.