Aandachtspunten ICT-beveiligingsassessment voor gemeenten

    - / 10 August 2012

    Onlangs heeft het Kwaliteitsinstituut Nederlandse Gemeenten (KING) haar impact- en risicoanalyse gepubliceerd over de voor gemeenten verplichte ICT-beveiligingsassessment DigiD. Alle Nederlandse overheidsorganisaties die DigiD gebruiken, dus niet enkel gemeenten, zijn verplicht om hun beveiliging te laten toetsen. Dit naar aanleiding van enkele incidenten en onderzoeken die vorig jaar hebben plaatsgevonden (bijvoorbeeld 'Lektober').

    Het onderzoek houdt onder meer in dat er penetratietesten uitgevoerd worden door specialisten op dat gebied en dat IT-auditors hun goedkeuring moeten geven. De eerder dit jaar door Logius bekendgemaakte normen zijn daarbij leidend. De assessments zullen na de initiële uitvoering jaarlijks herhaald moeten worden.

    KING benoemt een aantal belangrijke risico's, waaronder:

    • Medewerking leveranciers bij het uitvoeren van de testen: ook van hen zal bepaalde openheid en medewerking noodzakelijk zijn, bijvoorbeeld als een audit zo diep gaat dat er sourcecode moet worden gecontroleerd. Volgens KING mag een dergelijke diepgaande controle enkel plaatsvinden als er sprake is van een hoog veiligheidsrisico;
    • Selecteren partijen die de penetratietesten gaan uitvoeren. Dit blijkt een specialistisch vakgebied en naar schatting van KING zijn er slechts 200 van zulke testers aanwezig op de Nederlandse markt;
    • De IT-auditors (EDP-auditors) zijn te druk rond het controleren van jaarrekeningen in het vierde kwartaal;
    • Gemeenten komen te laat in actie zodat er geen tijd meer zou zijn de bevindingen van de toetsen te verwerken. KING adviseert dan ook om uiterlijk 2013 - Q2 het ICT-beveiligingsassessment te hebben uitgevoerd. Overigens geldt voor bestuursorganen die veel gebruik maken van DigiD dat ze in 2012 al de assessment moeten hebben afgerond.

    Verder gaat KING ondersteuning bieden door bijvoorbeeld een model-vrijwaringsverklaring aan gemeenten aan te bieden. Daarmee verklaren zij geen schade, veroorzaakt door de penetratietesten, te verhalen op de partijen die de testen in opdracht van de gemeenten uitvoeren. Bij deze vrijwaring is het van belang ook de andere betrokken partijen, zoals hosters en softwareleveranciers, mee te nemen.

    Het volledige rapport is te verkrijgen bij KING. Meer informatie ook op in een door KING ter beschikking gestelde FAQ.

    Terug naar overzicht

    Michael van Leeuwen

    Michael van Leeuwen, oud-medewerker ICTRecht
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram