Versnellingsplan Informatieveiligheid

September 2022

Sinds het begin van het Versnellingsplan Informatieveiligheid (juni 2021) zijn er veel projecten en activiteiten gestart die bijdragen aan ‘de basis op de orde’ zoals fase 1 is benoemd.  

Vitaal verklaring

In de komende periode is de verwachte vitaalverklaring van (processen van) veiligheidsregio’s en andere hulpdiensten een belangrijke ontwikkeling. Deze verklaring zal gevolgen hebben voor de eisen die we stellen aan de informatiebeveiliging bij veiligheidregio’s en ook NIPV. Inmiddels is de vitaliteitsbeoordeling uitgewerkt en vrijwel af; hierin beargumenteert het ministerie van JenV onder andere welke processen vitaal zijn bij veiligheidsregio’s. Dit betreft: 

  • Inzet hulpdiensten (w.o. brandweer); 
  • Crisiscoördinatie en -besluitvorming; 
  • Communicatievoorzieningen en informatiemanagement ten behoeve van de vorige processen. 

Ook de meldkamer (-functie en -beheer) wordt genoemd in de vitaliteitsbeoordeling. Met het benoemen van vitale processen worden de veiligheidsregio’s ook vitale aanbieders. Goed om op te merken is dat het een eenzijdig besluit betreft dat de minister aan de tweede kamer gaat sturen. Het sluit aan bij Europese richtlijnen waarbij de hulpverleningsdiensten in de EU-landen een speciale status krijgen. 

Op dit moment is het nog even afwachten, de precieze gevolgen moeten nog uitgewerkt worden,  maar de vitaalverklaring zal een vliegwiel zijn voor het aanscherpen van informatieveiligheidsbeleid, voor het behalen van de BIO-norm, voor het aantrekken van de benodigde capaciteit en voor de financiering. Natuurlijk nemen we deze ontwikkeling ook mee in het vervolg van het versnellingsplan Informatieveiligheid.  

SOC & CERT

Voor de ontwikkeling van een SOC en CERT¹ voor veiligheidsregio’s is een haalbaarheidsstudie uitgevoerd door NIPV en VR-ISAC. Onder andere om goed aangehaakt te zijn op de landelijke cybersecuritystructuren bij grote, dreigende crises én voor goede ondersteuning van afzonderlijke veiligheidsregio’s bij cyberincidenten.  

Er is in de studie naar verschillende oplossingsrichtingen gekeken, waaronder een collectieve/sectorale oplossing. Inmiddels heeft het POI tijdens de vergadering van 15 september jl. gediscussieerd over de uitkomsten; men sprak uit dat SOC/CERT een ‘must’ is (een randvoorwaarde), een collectieve oplossing het meest logisch lijkt en dat men een planning/routekaart wil voor de korte en langere termijn. Men wil ook een aantal relevante scenario’s verder uitgewerkt zien, om goed beeld te hebben van de impact en oplossingsrichting, alvorens er om besluitvorming en financiering wordt gevraagd. De RCDV en BAC-IV vroegen vervolgens het POI die uitwerking verder op te pakken. Na groen licht in de besluitvorming kan toegewerkt worden naar een sectorale oplossing binnen enkele jaren, met respect voor regionale verschillen. In de tussentijd kunnen (=moeten) veiligheidsregio’s eigen, tijdelijke oplossingen inrichten, zodat de digitale weerbaarheid hoog blijft (‘verhoogde dijkbewaking’). 

Paar activiteiten uitgelicht

Er zijn architecturen opgeleverd (technische en security architectuur als onderdeel van de VeRA, als referentiearchitectuur voor veiligheidsregio’s) die helpen bij een goede informatiehuishouding in de regio. Middels architectuur krijg je onder andere veel inzicht in waar data gebruikt wordt, uit welke bron en met welk doel. Specifiek de security architectuur wordt als vertrekpunt beschouwd in de ontwikkeling van informatieveiligheid in het kader van de BIO en NEN7510. Daarnaast is deze relevant in het kader van de mogelijke ontwikkeling van een sectorale SOC¹ om beter te kunnen monitoren op risico’s en incidenten. 

Daarnaast vinden er geregeld kennissessies plaats, georganiseerd vanuit NIPV, waarin BIO-projectleiders, CISO’s, FG’s en PO’s² uit de veiligheidsregio’s elkaar (online) treffen en kennis kunnen delen. Zo zal de kennissessie op 4 oktober a.s. in het teken staan van bewustwording en op 16 november a.s. wordt de sessie ingevuld met een workshop over de security architectuur in de praktijk; hoe gebruik je dit praktisch in je eigen organisatie? 

Ook is er gewerkt aan een nieuwe webpagina en digitale samenwerkingsomgeving om eenvoudig documenten en best practices met elkaar te delen. In de besloten samenwerkingsruimte is ook een toolkit te vinden ten behoeve van de implementatie van de BIO en veelgestelde vragen. Suggesties of aanvullingen zijn altijd welkom!   

Voortgang BIO-implementatie

Alle veiligheidsregio’s zijn goed op weg om de BIO te implementeren. Sommigen zijn er bijna, anderen hebben nog een paar stappen te zetten, maar iedereen is ermee bezig. Daarmee is zeker de versnelling die het plan beoogde te halen, bereikt. Veiligheidsregio’s hebben 4 keer een voortgangsrapportage ingevuld om voor zichzelf én aan elkaar de gezette en te nemen stappen te kaart te brengen. Dit was ook een goed middel om veiligheidsregio’s met dezelfde behoeften aan elkaar te verbinden. Op de planning staat nog een eindrapportage voor fase 1 met een gezamenlijke duiding en aandachtspunten voor het vervolg.  

Op dit moment wordt ook nagedacht over het vervolg van het Versnellingsplan Informatieveiligheid als geheel en de monitoring van voortgang op de BIO-implementatie. Vragen die daarbij gesteld worden, zijn: wat is de omvang van dit plan, welke resultaten dienen volgend jaar behaald te worden, hoe kan de sturing op (onderdelen van) het plan het beste georganiseerd worden, welke financiering is mogelijk enzovoort.  Later dit jaar volgt een advies over het vervolg aan het POI.  

Contact: programmaiv@nipv.nl  

¹ Security Operations Centre, Computer Emergency Response Team 

² Chief Information Security Officer, Functionaris Gegevensbescherming, Privacy Officer 

Lees ook

16-01-2023
Oefeningen en trainingen

Wil je in jouw regio ook oefenen met de landelijke voorziening SIS of een training volgen?

16-01-2023
Versterking gevraagd voor Expertgroep SIS

Wij zijn op zoek naar enkele personen vanuit de kolom Bevolkingszorg die plaats willen nemen in de LOCB Expertgroep SIS

16-01-2023
Teamleiders SIS gezocht

Kom jij de landelijke piketpool van teamleiders SIS versterken?

13-12-2022
Programma IV – jaarplan 2023

Op dit moment schrijven we volop aan het jaarplan 2023 voor het Programma Informatievoorziening waarin de vele facetten van IV aan bod komen.

13-12-2022
Risicovolle situaties op de kaart

De provinciale risicokaart toont risicovolle situaties en is een bron voor veel basisgegevens, zoals kwetsbare gebouwen en locaties en risicovolle objecten

13-12-2022
Toegangsservice Gezamenlijke Voorzieningen

Doel van de TGV is om eenvoudig en met Single Sign On in te kunnen loggen op álle gezamenlijke voorzieningen die NIPV beheert

13-12-2022
Voertuig Positie Service (VPS)

De VPS brengt alle voertuigposities van inzetbare eenheden van de veiligheidsregio’s bij elkaar op één plaats.

13-12-2022
Onderzoek Branden bij afvalbedrijven: vergunningen sluiten onvoldoende aan bij praktijk

Het scenario ‘brand in afvalstapel’ wordt in vergunningen niet als relevant scenario beschouwd, terwijl juist dit type branden met een grote omgevingsimpact het meest voorkomt in de branche.

13-12-2022
Webinar Scenarioboek IV

Op 1 december verzorgde het LEC IV een webinar om IV-specialisten in de veiligheidsregio’s wegwijs te maken in het nieuwe Scenarioboek Industriële Veiligheid.