Zorgplicht
1. Wat zijn de verschillen tussen verplichtingen vanuit de NIS2-richtlijn en wat in de BIO is geregeld?
De verplichtingen vanuit de NIS2-richtlijn voor de zorgplicht zijn in grote mate in lijn met bestaande kaders voor informatiebeveiliging bij de overheid. Zoals de Baseline Informatieveiligheid Overheid (BIO). Het voornemen is om de zorgplicht voor overheidsorganisaties via de BIO in te vullen. Er wordt dus zoveel mogelijk aan bestaande normenkaders vastgehouden. Het is belangrijk dat organisaties controleren of zij aan deze kaders voldoen.
Momenteel wordt bekeken hoe de verplichtingen die NIS2 voorschrijft, maar die nog geen plek in de BIO hebben, daar ingepast kunnen worden.
2. Hoe verhouden NIS2 en ENSIA zich tot elkaar?
ENSIA (Eenduidige Normatiek Single Information Audit) is het verantwoordingsinstrument voor informatieveiligheid dat gemeentecolleges gebruiken om enkelvoudig verantwoording af te leggen aan de gemeenteraad. Gelijktijdig kunnen zij zich naar specifieke stelselhouders (zoals BRP en DigiD) verantwoorden. Er wordt nog bekeken hoe ENSIA kan worden ingepast en/of aangepast met het oog op NIS2-toezicht. Op basis van de informatie uit ENSIA kan de toezichthouder bijvoorbeeld bepalen op welke punten aanvullend onderzoek noodzakelijk is.
Meldplicht
2. Wat als een sector geen CSIRT heeft?
De NIS2-richtlijn schrijft voor dat een entiteit melding kan doen bij een sectoraal CSIRT. Wanneer een sector geen CSIRT heeft, zijn er verschillende mogelijkheden voor de taakverdeling. Namelijk hoe organisaties binnen het CSIRT-stelsel een sectorale CSIRT krijgen toegewezen:
- Deze worden als extra doelgroep aan het NCSC/CSIRT-DSP toegevoegd (in haar rol als sectorale CSIRT).
- Deze worden als extra doelgroep aan een andere bestaande sectorale CSIRT toegevoegd.
- Er moet voor deze sector een nieuwe sectorale CSIRT worden opgericht.
Om consequenties van de NIS2-richtlijn verder uit te werken, voert het ministerie van BZK gesprekken met de sectorale CSIRTs binnen de sector Overheid.
Toezicht
3. Is er al een toezichthouder voor de sector overheid?
Er is nog geen toezichthouder bepaald voor de sector Overheid. Het streven is om daar rond zomer 2023 duidelijkheid over te hebben. Het heeft de sterke voorkeur om deze taak bij een bestaande toezichthouder te beleggen. Zodat er voordeel is van bestaande kennis en ervaring. Momenteel zijn er met verschillende partijen gesprekken om na te gaan in hoeverre deze iets in het toezicht kunnen betekenen. Een andere mogelijkheid is de oprichting van een nieuwe toezichthouder, zoals recent met de Inspectie Belastingdienst, Douane en Toeslagen. Of het verdelen van toezicht over verschillende bestaande toezichthouders.
4. Zorgt het toezicht niet tot grote administratieve lasten voor overheden?
Het voornemen is om informatiebeveiligingseisen die bij verschillende Rijkswetten- en regels horen te harmoniseren. Dit moet voorkomen dat toezicht tot grote administratieve lasten leidt.
Bij het regelen van een wettelijke basis voor informatieveiligheid, kijkt het ministerie van BZK naar al bestaande Rijkswetten- en regels die in de hele sector Overheid spelen. Dat zorgt voor uniformering op zowel de normen als het toezicht. Ook wordt zoveel mogelijk gebruik gemaakt van bestaande verantwoordingsstructuren. De hier verzamelde informatie kan de toezichthouder gebruiken. Zo hoeven overheden niet opnieuw informatie voor het toezicht te verzamelen. Zo kunnen overheden hun tijd en capaciteit in het daadwerkelijk beveiligen steken. En hoe volwassener de informatieveiligheid van overheidsorganisaties, des te minder toezicht nodig is.