Binnen het openbaar bestuur vindt een verdergaande digitalisering plaats van de overheidsdienstverlening. Daarmee groeit het belang van informatieveiligheid. Dit onderzoeksrapport is het resultaat van een verkenning naar de organisatie van de verantwoording over en het toezicht op de informatieveiligheid van de decentrale overheden: de provincies, gemeenten en waterschappen. De centrale vraag hierbij is op welke wijze BZK vanuit haar stelselverantwoordelijkheid voor informatieveiligheid in het openbaar bestuur de verantwoording over en het toezicht op informatieveiligheid kan organiseren en welke instrumenten daarvoor ingezet kunnen worden.
Op alle bestuurslagen is het bewustzijn over informatieveiligheid en de digitale weerbaarheid de afgelopen jaren toegenomen. Initiatieven zijn genomen om informatieveiligheid een onderdeel uit te laten maken van de reguliere planning en control-cyclus. Tussen de verschillende bestuursorganen en tussen de bestuurslagen bestaan desondanks nog verschillen in de mate waarin informatieveiligheid een integraal onderdeel uitmaakt van die planning en control-cyclus. Ditzelfde beeld is ook zichtbaar in een aantal met Nederland vergelijkbare Europese landen. De programmatische aanpak in Denemarken, waar tussen de bestuurslagen meerjarenafspraken zijn gemaakt over de sturing op informatieveiligheid, kan als voorbeeld dienen voor de Nederlandse situatie.
De wet- en regelgeving die relevant is voor de inrichting van verantwoording en toezicht op informatieveiligheid, met name het wetsvoorstel Digitale Overheid, legt het primaat bij horizontaal toezicht op informatieveiligheid binnen een bestuurslaag. Het interbestuurlijke verticale toezicht sluit hier op aan.
Op basis van onderzochte ontwikkelingen en visies bij de verschillende bestuurslagen en ontwikkeling van wetgeving zijn vier varianten voor verantwoording en interbestuurlijk toezicht op informatieveiligheid opgesteld, variërend van zelfregulering/horizontaal toezicht per bestuurslaag tot verticaal interbestuurlijk toezicht op de naleving van specifieke regelingen. De variant die horizontaal toezicht van het bestuursorgaan combineert met generiek toezicht door het rijk op de naleving van het gebruik van de generieke digitale infrastructuur scoort daarbij het beste, met name waar het de transparantie betreft over de naleving van de afspraken in de keten van de generieke digitale infrastructuur.
Geconstateerd is dat het kennis en bewustzijn rondom informatieveiligheid groeit, maar dat voornamelijk bestuurders nog handelingsverlegen zijn. Lokale bestuurders en toezichthouders hebben een handelingsperspectief nodig om beter sturing te kunnen geven aan informatieveiligheid. Collegiale visitatie en sturing op groei in volwassenheid van de planning en control-cyclus zijn daarbij belangrijke instrumenten.
Om het gewenste volwassenheidsniveau te bereiken en balans te vinden tussen horizontaal en verticaal toezicht op informatieveiligheid zal een meerjarige interbestuurlijke programmatische inspanning noodzakelijk zijn. Hiervoor kan lering getrokken worden uit de Deense programmatisch aanpak voor informatieveiligheid.
Onderzoeksrapport toezicht en verantwoording informatieveiligheid overheid
Deze publicatie is ook te vinden in het dossier Informatiebeveiliging en Digitale transformatie.
bron: Rijksoverheid
