
Informatiebeveiliging
De beveiliging van informatie is in de publieke sector van bijzonder belang, of het nu gaat om gemeenten, zorginstellingen, scholen of woningcorporaties. Al deze instanties werken met gevoelige gegevens van inwoners, cliënten en leerlingen. Naast de vertrouwelijkheid is het voor de steeds meer gedigitaliseerde bedrijfsprocessen essentieel dat informatie beschikbaar is wanneer nodig en dat informatie juist en actueel is.
Bij een datalek of een cyberaanval komt de dienstverlening aan inwoners, cliënten en leerlingen in gevaar en staat de reputatie van de organisatie op het spel.
Cyberaanvallen zoals bij de gemeente Hof van Twente, de Gelre ziekenhuizen en ROC Mondriaan maken dat duidelijker dan ooit. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) geeft in het Cybersecuritybeeld Nederland aan dat cyberaanvallen het zenuwstelsel van de maatschappij aantasten.
Kaders voor informatiebeveiliging, zoals de Cyberbeveiligingswet(NIS2), BIO2 voor de overheid, NEN7510 voor de zorg en de normenkaders voor het onderwijs geven organisaties handvatten voor een goede informatiebeveiliging.
BMC helpt bij de inrichting, evaluatie en besturing van uw informatiebeveiliging. Neem contact op om te bespreken wat we voor u kunnen doen.
Op deze pagina:
NIS2 en de Cyberbeveiligingswet
Grip krijgen op informatiebeveiliging
Normen als hulpmiddel voor informatiebeveiliging
Volwassenheidsmodel voor informatiebeveiliging in organisaties
Expertise BMC rondom informatiebeveiliging
Onze dienstverlening informatiebeveiliging
Praktijkcases en oplossingen
Werken bij BMC op het gebied van informatiebeveiliging
Adviseurs informatiebeveiliging
Actueel
Toon allesGrip krijgen op informatiebeveiliging
‘Ik was in de veronderstelling dat ik in control was.’ Dat waren de woorden van de burgemeester van de gemeente Hof van Twente na de ransomware-aanval. Daar bleek onvoldoende inzicht te zijn in de stand van zaken rond informatiebeveiliging, ondanks de jaarlijkse ENSIA-zelfevaluatie over de BIO. Daardoor was het college niet in staat om de juiste maatregelen te nemen om de aanval te voorkomen, of haar impact te beperken.
BMC biedt niet alleen ondersteuning bij de inrichting en evaluatie van uw informatiebeveiliging, maar ook bij de besturing daarvan. Zo krijgen zowel bestuur als management en proceseigenaren grip op informatiebeveiliging en kunnen onaangename verrassingen worden vermeden.
Dankzij onze jarenlange ervaring in de publieke sector kunnen wij het passende perspectief bieden. Wij voorzien u van die benodigde actuele kennis en een objectieve blik. Zo weet u hoe uw organisatie ervoor staat en heeft u échte controle over uw gegevens. Onze adviseurs stellen u in staat om de keuzes te maken voor uw organisatie.
Normen als hulpmiddel voor informatiebeveiliging
Bij de inrichting van informatiebeveiliging zien we normen als hulpmiddel, niet als doel. We zorgen voor een pragmatische implementatie, waarbij de beheersmaatregelen worden toegepast die bij het risico passen. Hierbij houden we ook rekening met de ontwikkeling van technologie en bedreigingen.
Voorbeelden van deze normen zijn:
- de Baseline Informatiebeveiliging Overheid (BIO), waaraan alle overheidslagen zich hebben gecommitteerd, zoals de VNG namens de gemeenten.
- NEN7510, waaraan zorginstellingen moeten voldoen volgens diverse wettelijke regelingen
- ISO 27001 die de basis is van de BIO en NEN7510 en vaak gebruikt wordt om een basisniveau bij leveranciers en ketenpartners te kunnen toetsen.
- CSIR, een implementatierichtlijn voor cybersecurity gericht op procesautomatisering, zoals gemalen en rioolwaterzuiveringsinstallaties bij waterschappen en het rioolgemalen bij gemeenten.
Volwassenheidsmodel voor informatiebeveiliging in organisaties
Voor het versterken van informatiebeveiliging in uw organisatie, gebruikt BMC een volwassenheidsmodel en nulmetingen. Dit ondersteunt de communicatie richting directie en bestuur, en maakt de groei van uw organisatie zichtbaar.
Ons volwassenheidsmodel voor informatiebeveiliging
Expertise BMC rondom informatiebeveiliging
BMC heeft een brede deskundigheid op het gebied van informatiebeveiliging: van de bestuurlijke inbedding, bewustwording, organisatorische en technische maatregelen tot ethische hackers die op zoek gaan naar zwakke plekken in uw beveiliging. Hieronder vindt u informatie over een aantal specifieke onderwerpen:
- Informatiebeveiliging: organisatie, governance en compliance
- Risicoanalyse informatiebeveiliging
- Cybersecurity en hacks
- Baseline Informatiebeveiliging Overheid (BIO)
- Informatiebeveiliging zorg
- Bewustwording
Wilt u meer weten over informatiebeveiliging in de publieke sector? Lees dan onderstaande brochures:
NIS2 en de Cyberbeveiligingswet
Met diverse aanvallen op publieke instellingen in de afgelopen jaren is duidelijk geworden dat goede informatiebeveiliging belangrijk is voor de continuïteit van organisaties. De incidenten bij Universiteit Maastricht en de gemeente Hof van Twente waren daarbij het meest prominent in de berichtgeving.
Om de cyberveiligheid te verbeteren en om binnen de EU te zorgen voor een gelijk speelveld heeft de Europese Commissie de NIS2 richtlijn opgesteld met verplichtingen voor lidstaten en voor essentiële en belangrijke entiteiten. Met de Cyberbeveiligingswet wordt de NIS2 richtlijn omgezet in Nederlandse wetgeving. Daarbij zijn alle overheidsorganisaties aangemerkt als essentiële entiteiten. Ook zorginstellingen kunnen als essentiële entiteit worden aangemerkt.
De overheid
Om te voldoen aan de Cyberbeveilingswet moeten deze organisaties op hoofdlijnen het volgende aantoonbaar implementeren:
- Zorgplicht: Passende beveiligingsmaatregelen om risico’s te beheersen, incidenten te voorkomen, de gevolgen van incidenten te beperken. Daarbij moet je rekening houden met de stand van de techniek, kosten, internationale normen, zoals ISO27001, waarop de BIO en NEN7510 zijn gebaseerd. (Art 21 Cbw) Onderdeel van deze maatregelen zijn:
- het vaststellen en onderhouden van een informatiebeveiligingsbeleid, gebaseerd op een risicoanalyse en cyclisch verbeterproces (ISMS volgens de PDCA-methodiek);
- het organiseren van een effectieve incidentdetectie, -respons en -herstel;
- het borgen van bedrijfscontinuïteit;
- het beheersen van risico’s in de toeleveringsketen;
- het toepassen van basisprincipes van cyberhygiëne, zoals nader uitgewerkt in de BIO of NEN 7510.
- Governance: Bestuursleden (bij overheid: de politieke leiding Art 24 lid 12 Cbw) keuren maatregelen goed en zien toe op de uitvoering. Verder moeten ze met een certificaat aantonen dat ze beschikken over kennis en vaardigheden om risico’s te identificeren, maatregelen en de gevolgen van de risico’s te beoordelen (Art 24 Cbw) BMC biedt deze training voor bestuurders aan.
- Aansluiten bij een CSIRT, die ondersteunt bij incidenten, zoals het Z-CERT voor de zorg
- Meldplicht van significante incidenten onverwijld, aan haar CSIRT en de Bevoegde autoriteit (Art 25-29 Cbw)
- Informeren van ontvangers van diensten over incidenten (Art 30 Cbw)
- Vrijwillige melding van (bijna-)incidenten, dreigingen en kwetsbaarheden (Art 33-34 Cbw)
- Verstrekken van informatie voor het nationale register en register ENISA (Art 44, 47 Cbw)
Met het oog op de Cyberbeveiligingswet is de BIO2 ontwikkeld als opvolger van de BIO. Veel van de vereisten uit de Cyberbeveiligingswet zijn daarin verwerkt. Aanvullend op de BIO2 is een bedrijfscontinuïteitsplan nodig en is de vrijwillige melding van kwetsbaarheden, aanvallen en incidenten in te regelen.
Voor zorgorganisaties wordt een deel van de eisen van de Cyberbeveiligingswet afgedekt door NEN7510. Specifieke eisen van de Cyberbeveilingswet, zoals bedrijfscontinuïteit, de governance en meldplicht zijn daarin niet opgenomen.
Hoe zorg je dat je organisatie voldoet aan de Cyberbeveiligingswet/NIS2? Daarover schreven we deze blog.
Onze dienstverlening op het gebied van informatiebeveiliging
Naast advies en ondersteuning rondom informatiebeveiliging en gegevensbescherming kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals, zoals privacy officers of een functionaris gegevensbescherming.
Praktijkcases en oplossingen
Toon allesWerken bij BMC op het gebied van informatiebeveiliging
Wil jij ook werken aan het verbeteren van de publieke sector? Als adviseur binnen informatiebeveiliging maak jij impact samen met je collega’s en opdrachtgevers. Toe aan een mooie vervolgstap in je carrière? Wij helpen je nóg verder ontwikkelen. Nieuwsgierig naar de mogelijkheden? Bekijk alle openstaande vacatures.
Adviseurs informatiebeveiliging
Julius Duijts CISSP CEH CIPP/E
partner informatiebeveiliging
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Alex Commandeur CIPP/E
managing consultant
"Als senior adviseur heb ik ruime ervaring binnen het openbaar bestuur. Mijn brede achtergrond in de publieke sector in verschillende rollen en verantwoordelijkheden maken dat ik mij makkelijk kan verplaatsen in mijn gesprekspartners. Een beetje humor en relativeringsvermogen helpen mij daarbij."
Meer expertises binnen data en dienstverlening
Deze expertise is gelinkt aan data en dienstverlening. Bekijk ook andere expertises binnen dit domein.