Welkom bij de Kiesraad!
Dank je wel.
Ik ben Fleur van Leusden en ik ben CISO bij de Kiesraad. Dat betekent dat ik me bezighoud met de informatiebeveiliging van het verkiezingsproces. Digitale weerbaarheid zit echt ingebakken in alles wat wij doen, omdat het raakt aan het hart van onze missie. Onze missie is dat in Nederland iedereen de uitslag van verkiezingen kan vertrouwen. Dat maakt dat dit voor ons een zeer hoge prioriteit heeft.
Ik ben Freddie Muller, verbindend adviseur NIS2 overheid. Ik houd me specifiek bezig met ministeries, ZBO’s en provincies. Vanuit de RDI proberen we de start met de Cyberbeveiligingswet te bespoedigen en kijken we wat er bij organisaties al aanwezig is.
In de praktijk zien we veel verschillende organisaties met uiteenlopende volwassenheidsniveaus. Sommige organisaties staan nog aan het begin. Daarom adviseren we om te starten met risicoanalyses: kijk waar de belangrijkste bedrijfsprocessen zitten en begin met het in kaart brengen van je leveranciers, zodat je inzicht krijgt in afhankelijkheden.
Wij zijn voorbereid op de Cyberbeveiligingswet, doordat we al verschillende activiteiten hebben uitgevoerd. Een aantal jaar geleden hebben we, toen NIS2 werd aangekondigd, een fit-gap-analyse laten doen. Daarmee konden we op hoofdlijnen zien waar nog werk zat en waar we al op niveau waren. Op basis daarvan hebben we bepaald waar we met relatief eenvoudige stappen snel winst konden behalen en welke onderwerpen meer lange termijn aandacht vragen.
We hebben vorig jaar veel gewerkt aan leveranciersmanagement, met name rond IT-dienstverleners. We hebben in kaart gebracht welke IT-dienstverleners we hebben, op welke cloudstructuren zij draaien en hoe belangrijk ze zijn voor onze primaire processen. Daarnaast werken we aan het verder verfijnen en formaliseren van ons risicomanagement. We doen al veel op dat gebied, maar willen het verder structureren. We zijn zeker niet perfect en blijven continu zoeken naar verbeteringen.
Wat ons helpt, is dat we een bestuur hebben dat zich zeer bewust is van cybersecurity. Er zit bijvoorbeeld een hoogleraar cybersecurity in onze bestuurslaag, en ook andere raadsleden hebben veel kennis en achtergrond op dit onderwerp. Daardoor wordt het belang van cybersecurity breed erkend binnen de organisatie.
De vraag is dan ook hoe dit bestuurlijk wordt vastgelegd en geagendeerd. Voor ons bestaan er al verantwoordingen op het gebied van security. We hebben maandrapportages over informatiebeveiliging en daarnaast halfjaarlijkse en jaarlijkse rapportages. Hoewel we als zelfstandig bestuursorgaan niet verplicht zijn om hierover verantwoording af te leggen aan het ministerie, hebben we ervoor gekozen om deze rapportages toch halfjaarlijks en jaarlijks te delen. Daarmee maken we de bestuurlijke verantwoordelijkheid, zoals genoemd in de wet, aantoonbaar.
Wat wij zien als een kritieke succesfactor voor goede cyberweerbaarheid, is dat de verantwoordelijkheid bij het bestuur echt wordt gevoeld en gedragen. Dat helpt niet alleen bij besluitvorming en het vrijmaken van budget, maar zorgt er ook voor dat cybersecurity blijvend op de agenda staat en wordt meegenomen in veranderingen binnen de organisatie.
Voor organisaties die net beginnen, hebben we een quickscan beschikbaar. Daarmee kun je inschatten in hoeverre je aan de Cyberbeveiligingswet voldoet. Daarnaast is het belangrijk om te starten met risicoanalyses. Vanuit de Baseline Informatiebeveiliging Overheid (BIO2) is dit ook al verplicht en er komen steeds meer hulpmiddelen beschikbaar.
Intern probeer ik teams en collega’s handvatten te geven, zodat zij zelf security-afwegingen kunnen maken. Cybersecurity is niet van IT of van één persoon; het is een gezamenlijke verantwoordelijkheid. Iedereen moet eraan bijdragen.