De overheid heeft een verantwoordelijkheid om goed om te gaan met de gegevens van burgers. En om dienstverlening aan te bieden waar Nederland op kan rekenen. Onderdeel hiervan is verantwoording en controle op de risicobeheersing van overheidsorganisaties. Deze verantwoording vindt plaats binnen de eigen organisatie naar het bestuur, de toezichthouders en richting de burger.
BIO
De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Het vormt daarmee ook de basis voor verantwoording over informatiebeveiliging. De BIO bevat de verplichting voor overheidsorganisaties om verantwoording af te leggen via de geldende verantwoordingskaders en aan de relevante toezichthoudende instanties.
De laatste versie van de BIO is te vinden op bio-overheid.nl.
Informatieveiligheid is een standaard onderdeel van het jaarverslag van de organisatie. Voor veilige onderlinge samenwerking tussen overheidsorganisaties, geven overheidsorganisaties elkaar inzicht in de getroffen maatregelen. Zij maken hierbij gebruik van de Verklaring van Toepasselijkheid.
ENSIA
Gemeenten leggen in één keer slim verantwoording af over informatieveiligheid met ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA wordt continue doorontwikkeld, in samenwerking met de verschillende stelselhouders. De basis voor ENSIA is de verantwoording over de BIO. Voor de toekomst verkent het ministerie van BZK of andere bestuurslagen ook gebruik kunnen maken van ENSIA, en of zij aanvullende stelsels aan ENSIA kan toevoegen.
Meting internetstandaarden
Overheidsbreed zijn afspraken gemaakt om standaarden voor internetveiligheid en informatieveiligheid versneld te adopteren, de zogeheten streefbeeldafspraken. Een aantal standaarden is per 1 juli 2023 verzwaard tot een wettelijke verplichting, via het ‘Besluit beveiligde verbinding met overheidswebsites en ‑webapplicaties’.
Forum Standaardisatie voert elk halfjaar een meting uit op de implementatie van deze informatieveiligheidstandaarden bij overheidsorganisaties.
Basisbeveiliging.nl
De stichting Internet Cleanup Foundation meet veiligheid op het internet; op basis van open bronnen en publieke meetinstrumenten. Deze stichting laat organisaties en burgers actueel zien of belangrijke organisaties hun digitale basisveiligheid op orde hebben. Als onderdeel van het Actieplan Nederlandse Cybersecuritystrategie 2022-2028 moedigt BZK het gebruik aan van basisbeveiliging.nl door overheidsorganisaties.
IT-jaarverslag (IDRS)
De IDRS (International Digital Reporting Standards) kunnen organisaties toepassen voor het opstellen van een jaarlijks verslag over IT-beheersing. Het doel is aan stakeholders, bestuurders en toezichthouders transparantie te bieden over de digitale weerbaarheid van een organisatie.
IDRS omvat onder meer de verantwoording over cybersecurity. De ministeries van BZK en EZ voeren in opdracht van de Tweede Kamer een verkenning uit naar de mogelijke invoering van een IT-jaarverslag; op basis van IDRS bij de overheid en het bedrijfsleven. Deze ministeries voeren de opdracht uit in samenwerking met ECP Platform voor de Informatiesamenleving.
