Veranderingen in de ENSIA audit

Vanaf het controlejaar 2025 wijzigt de DigiD-verantwoording voor gemeenten.

Tot nog toe vult de gemeente de DigiD vragenlijsten in de ENSIA-tool in en stelt een collegeverklaring op. At Risk Advies geeft daarbij haar oordeel via een assurancerapport.

In de nieuwe aanpak worden DigiD-aansluitingen niet meer via het ENSIA-proces gecontroleerd, maar via een directe rapportage door de IT-auditor. Daarbij stelt de IT-auditor zelf het rapport op, inclusief bijlagen en geeft daar een verklaring bij af. De gemeente hoeft geen verantwoordingsdocumenten meer op te stellen, die door de IT-auditor worden gecertificeerd. De controle vindt niet meer plaats vanuit de vragenlijsten, maar rechtstreeks vanaf de onderliggende documentatie.

Deze aanpak is vanaf het controlejaar 2026 verplicht. Voor het controlejaar 2025 mag de nieuwe aanpak worden toegepast of de oude.

De reden voor de wijziging is de foutgevoeligheid van de oude methode. Wij adviseren dan ook om vanaf controlejaar 2025 de nieuwe aanpak te hanteren. Dit betekent naast een kleinere kans op fouten ook minder administratief werk voor de gemeente. U dient wel voorafgaand aan de controle uw keus te bepalen. Het is niet toegestaan om tijdens de audit van methode te wisselen.

De SUWI-audit maakt, net als voorgaande jaren, wel onderdeel uit van de ENSIA-verantwoording. De SUWI-verantwoording wordt gecontroleerd via het BIO normenkader. De verantwoording en de controle daarvan blijft ongewijzigd ten opzichte van vorige jaren. Vanaf 2026 zal de BIO als normenkader ook gebruikt worden om verantwoording af te leggen over de Cyberbeveiligingswet / NIS2, die dan wettelijk van kracht wordt.

Zekere Zorg: de nieuwe NEN7510

De gezondheidszorg is sterk afhankelijk van digitale informatie. Het is van levensbelang dat digitale diensten betrouwbaar zijn en niet uitvallen en dat die informatie alleen wordt gebruikt door bevoegde personen. Daarom is er een normenstelsel voor informatiebeveiliging in de zorgsector: de NEN7510.

In december 2024 is de nieuwe NEN7510 norm voor informatieveiligheid in de zorg gepubliceerd.  Een update van de vorige norm uit 2017, maar wel met een aantal ingrijpende aanvullingen.

• De NEN7510 sluit aan op de ISO27001 norm uit 2022 en besteedt meer dan voorheen aandacht aan beveiligingsthema’s als cloud security, bring-your-own-device en werken op afstand.
• Het normenstelsel sluit aan op de NIS2 regelgeving (de cyberbeveiligingswet) die later dit jaar van kracht wordt.
• Het “comply or explain” principe is nadrukkelijker toegepast. Afwijkende implementatie van security regels mogen nog wel, maar moeten worden gemotiveerd.
• Het aantal beheersmaatregelen is afgenomen.
• Er zijn enkele zorgspecifieke normen toegevoegd.

Van NEN7510 gecertificeerde instellingen wordt verwacht dat zij binnen 2 jaar, uiterlijk in december 2026, overgaan naar de nieuwe norm.

Zorgverlenende organisaties moeten aan deze regelgeving voldoen. De inspectie voor Gezondheid en Jeugd handhaaft deze wettelijke verplichting. Toeleveranciers van zorgorganisaties hebben die plicht niet, maar hebben veel voordelen als zij ook aantoonbaar voldoen aan de NEN7510:2024.

Wilt u ondersteuning bij de implementatie van de nieuwe norm, of wilt u een externe audit op het ISMS en de werking daarvan laten uitvoeren? Wij staan klaar om u te helpen.

Mei 2025

NO MORE RANSOM!

Steeds vaker krijgen onze klanten te maken met ransomware attacks. Daarom willen we graag wijzen op een uitstekend internationaal initiatief van publiek-private samenwerking: https://Nomoreransom.org. Deze website is ingericht door Europol en de High Tech Crime Unit van de politie. Politie en beveiligingsonderzoekers hebben een gedeelde verantwoordelijkheid in het gevecht tegen cybercriminaliteit. De website helpt (potentiële) slachtoffers van ransomware met kennis over de problematiek, de bestrijding van ransomware en het voorkomen van schade als gevolg van ransomware. Door een gezamenlijke aanpak wordt het effectiever om te reageren op deze criminele activiteiten. Daarom ook de oproep om aanvallen te melden en kennis te delen.

Naast informatie biedt de website ook ontsleuteltools voor een steeds groeiend aantal virussen. Met deze ontsleuteltools kunnen via malware encrypte bestanden hersteld worden.

Natuurlijk is voorkomen beter dan genezen. Daarom is het zaak om uw update- en patch management op orde te hebben, net als uw backup- en restoreprocedures en uw antimalware software.

Februari 2025

De cyberbeveiligingswet en de NIS2 in Nederland

Nederland heeft het niet gehaald om de Europese NIS2 richtlijn op tijd in te voeren. De deadline van 17 oktober 2024 is niet gehaald. In de kamerbrief van minister Van Weel van 16 oktober 2024 is het nieuwe traject voorgesteld. Het streven is nu dat de NIS2 wordt geïmplementeerd in de Nederlandse Cyberbeveiligingswet in het derde kwartaal van 2025. De NIS2 wetgeving geldt voor essentiële en belangrijke entiteiten.

De Europese CER-richtlijn voor kritieke entiteiten die in de Nederlandse Wet weerbaarheid kritieke entiteiten wordt geïmplementeerd, is eveneens uitgesteld tot het derde kwartaal van 2025. Wel zal het Computer Incident Response Team (CSIRT) nu al bijstand geven bij cyberincidenten. Het CSIRT wordt ingevuld door het NCSC, voor digitale dienstverleners door het CSIRT-DSP en voor de zorgsector door Z-CERT. In de periode totdat de wetten in werking treden gaan de verplichtingen van deze wetten pas in vanaf het tijdstip dat de wetten in werking treden. Tot die tijd blijft de huidige Wbni van kracht.

Vanaf 17 oktober 2024 kunnen de organisaties die onder deze regelgeving gaan vallen zich al wel registreren bij het NCSC en daarmee op de hoogte worden gehouden van cyberdreigingen. Ook al is er nog een jaar geen wettelijke verplichting, het is van groot belang om toch aan de slag te gaan met het verhogen van de cyberweerbaarheid en niet te wachten tot de CBW en WWKE in werking zijn getreden. De cyberrisico’s bestaan nu ook al. Het is zaak om voorafgaand aan de in werking treding van deze wetten al minstens de volgende zaken op orde te hebben:

• Een risico analyse van de fysieke en digitale dreigingen;
• Daarop gebaseerde maatregelen die deze risico’s mitigeren;
• Procedures die cyberincidenten detecteren, melden, monitoren en oplossen

Oktober 2024

Nieuwe NIS2 beveiligingsrichtlijn geldt voor alle middelgrote en grote bedrijven

In november 2022 heeft het Europees Parlement de NIS2-richtlijn met overweldigende meerderheid van stemmen aangenomen. De richtlijn netwerk- en informatiesystemen (NIS) uit 2016 is niet alleen een update van de NIS uit 2016, maar vooral een verhoging van de digitale weerbaarheid van bedrijven en instellingen in Europa. Hiertoe zijn nu minimum cybersecurity standaarden gepubliceerd die in de gehele EU moeten worden geïmplementeerd. De eisen hebben onder meer betrekking op incidentenbehandeling, beveiliging in de keten, encryptie en openbaar maken van kwetsbaarheden.

Naleving van de NIS-richtlijn helpt bedrijven hun systemen en activa en ook die van hun klanten en partners te beschermen. Dit vermindert het risico van dure beveiligingsincidenten en verbetert de veiligheid en continuïteit van het bedrijf. Het aantonen van naleving van de NIS-richtlijn verbetert ook de reputatie en geloofwaardigheid van het bedrijf, omdat het laat zien dat het bedrijf cyberbeveiliging serieus neemt en zich inzet voor de bescherming van de veiligheid en privacy van de informatie van zijn klanten.

De NIS-richtlijn vereist dat organisaties bepaalde technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te garanderen. Dit betreft meerdere gebieden, zoals procedures voor het verlenen van toegang, het melden van incidenten en de daarmee samenhangende beheerprocessen. De invoering en handhaving van deze maatregelen kan kostbaar zijn en de CISO zal de kosten en baten van de naleving goed moeten motiveren.

De nieuwe regels gelden nu voor zogenaamde “belangrijke sectoren”, zowel voor grote als middelgrote ondernemingen. Als belangrijk gelden in ieder geval de postdiensten, medische sector, levensmiddelen, electra, IT-producten en diensten, chemicaliën, afvalbeheer, machines en motorvoertuigen. Ook zoveel mogelijk overheids- en openbare instanties vallen onder de nieuwe regels. De regels voorzien in een sanctieregime waarbij direct en indirect verantwoordelijken voor cyberaanvallen hard kunnen worden aangepakt.

November 2022

WPG Audit rapportages: Te weinig ingeleverd en te veel tekortkomingen

In januari 2023 meldde de Autoriteit persoonsgegevens dat zij slechts een kleine 200 auditrapporten had ontvangen van de ruim 600 werkgevers van BOA’s. Deze rapportages hadden uiterlijk op 31 december 2022 aan de AP moeten zijn verstuurd, nadat de AP al eerder een jaar uitstel had verleend.

De AP is inmiddels gesprekken aan het voeren met de nalatige organisaties. Afhankelijk van de uitkomst van deze gesprekken kan de AP handhavend optreden, bij voorbeeld met het opleggen van een boete of verscherpt toezicht of een berisping.

Eind januari 2023 werd bekend dat ook de belastingdienst heeft verzuimd onderzoek te doen of haar BOA’s zich houden aan de regels voor het gebruik van politiegegevens.

Tegelijkertijd werd bekend dat de douane wel de verplichte WPG audit had laten uitvoeren, maar dat de score ver onder de maat was. Van de 32 normen die gehaald moesten werd slechts voor 4 normen geconcludeerd dat voldaan werd aan de norm.

Ook veel gemeenten hebben BOA’s in dienst en dienen daardoor de WPG-audit te laten uitvoeren. Dat gebeurt lang niet altijd. En in die gevallen waarin dat wel gebeurt, schieten ook hier de resultaten ver te kort.

Het is duidelijk dat de nieuwe privacy regelgeving nog niet goed is verankerd in de maatschappij. Deze eerste auditcyclus moet daarom gezien worden als een nulmeting. Vanaf hier moeten grote verbeterslagen worden gemaakt om tot een behoorlijke implementatie van de privacy regels te komen. Dat is noodzakelijk voor het vertrouwen van burgers in de overheid.

Bedrijven en instellingen met een auditrapport wat niet aan alle normen voldoet hebben een jaar de tijd om een verbeterplan te implementeren en dit plan door een IT-auditor te laten testen.

Januari 2023

De ABDO: Beveiligingseisen voor defensie opdrachten

Defensie bedrijven moeten aan hogere beveiligingseisen voldoen dan overige bedrijven, vaak zelfs aan hogere eisen dan bedrijven die werkzaam zijn in vitale sectoren.

Vaak werken defensie organisaties echter samen met het bedrijfsleven, bij voorbeeld bij de uitvoering van een contract tot het opleveren van bepaalde activa. In dergelijke situaties legt Defensie beveiligingseisen op aan haar partners. Deze beveiligingseisen zijn vastgelegd in de ABDO 2019, de Algemene Beveiligingseisen voor Defensie Opdrachten. Het normenkader van de ABDO loopt op cybergebied parallel aan (internationale) normenkaders zoals ISO27001 en de Nederlandse BIO.

De ABDO is bedoeld om de beveiligingseisen te beheersen tegen gevaren als criminaliteit, extremisme, sabotage, terrorisme en spionage. Er moeten maatregelen zijn geïmplementeerd die voldoende weerstand bieden tegen deze dreigingen. De zwaarte van de maatregelen hangt af van het specifieke dreigingsbeeld. Het Ministerie van Defensie hanteert daartoe een rubriceringssysteem bestaande uit vier niveaus van Te Beschermen Belangen:

Rubricering	Categorie	Dreiging bij ongeautoriseerde toegang
ZEER GEHEIM	TBB1	Kan zeer ernstige schade toebrengen aan de Staat of zijn bondgenoten
GEHEIM	TBB2	Kan ernstige schade toebrengen aan de Staat of zijn bondgenoten
CONFIDENTIEEL	TBB3	Kan schade toebrengen aan de Staat of zijn bondgenoten
DEPARTEMENTAAL VERTROUWELIJK	TBB4	Kan nadeel toebrengen aan één of meer ministeries

Om te waarborgen dat een opdrachtnemer conform de ABDO vereisten omgaat met een TBB en het juiste beveiligingsregime toepast sluit Defensie een Bijzondere opdracht (BO) af met de opdrachtnemer. In een BO wordt de opdrachtnemer contractueel verplicht tot implementatie van de vereiste beveiligingsmaatregelen. Het kan daarbij gaan om maatregelen op het gebied van informatiebeveiliging/cyber, maar ook op de gebieden bestuur en organisatie, personeel of fysieke beveiligingsmaatregelen, zoals toegangsrestricties.

Het MIVD is belast met het verstrekken van de vergunningen en de controle op de naleving van de ABDO. Voor internationale projecten kunnen ook de NAVO of EU-organen inspecties uitvoeren. Een autorisatie wordt steeds verleend per contract en heeft geen algemene of permanente werking.

Als U wilt inschrijven op defensie opdrachten is het belangrijk om aantoonbaar in compliance te zijn met deze regelgeving. Dit kan voor uw projectmanagement verstrekkende consequenties hebben. De aanvraag voor een autorisatie of Facility Security Clearance Certificate kost tijd. Dit traject kent 3 fasen die achtereenvolgens doorlopen moeten worden: de oriëntatie-, de offerte- en de gunningsfase. Vroegtijdige aandacht hiervoor voorkomt teleurstelling!

Oktober 2022

Het IT-verslag komt eraan!

Dagelijks worden we geconfronteerd met cybercrimes. Zowel de frequentie als de impact nemen hand over hand toe. Organisaties moeten zorgen dat ze weerbaar zijn, dat hun IT-systemen een aanval kunnen weerstaan en dat er noodprocedures zijn.

Over de financiële gezondheid van organisaties geven accountants jaarlijks hun oordeel in een accountantsverklaring bij het jaarverslag. Maar die controle geeft geen oordeel over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om vast te stellen of een organisatie voldoende weerbaar is tegen toekomstige cyberaanvallen. Een nieuwe rapportagevorm, de IT-auditverklaring, geeft hier invulling aan.

Met een nieuwe verklaring, de IT-auditverklaring, kunnen organisaties en hun stakeholders aanvullende zekerheid krijgen over de weerbaarheid van hun IT systemen.

Als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan een organisatie zomaar omvallen. Stakeholders hebben een groot belang bij assurance over de juiste werking van informatietechnologie. Dan gaat het niet alleen om banken, maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en het maatschappelijk verkeer in brede zin.

De IT-auditverklaring geeft zekerheid bij een door de organisatie zelf opgesteld IT-verslag. Daarin wordt vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Daarnaast gaat het IT-verslag in op de afhankelijkheid en kwetsbaarheid van haar IT systemen en de maatregelen die het heeft getroffen en het komend jaar gaat treffen om de cyberweerbaarheid te vergroten. Het IT-verslag kijkt daarmee niet alleen naar het afgelopen jaar, maar ook naar de toekomst. Dat is voor de stakeholders het meest relevant.

De verwachting is dat externe toezichthouders en banken het IT-verslag en de IT-auditverklaring mee zullen nemen in hun risicobeoordeling van de organisatie. De NOREA is ver gevorderd met het normenkader en verwacht dat in 2022 de standaarden klaar zijn voor invoering.

Rien Hommes

Gemeenten en de WPG audit

Vrijwel elke gemeente heeft buitengewoon opsporingsambtenaren (boa’s) in dienst of onder contract. De bescherming van persoonsgegevens bij strafbare feiten is niet in de Algemene Verordening Gegevensbescherming (AVG) geregeld, maar in de Wet politiegegevens (WPG) aangevuld met het besluit Politiegegevens (BPG).  Gemeenten moeten daardoor niet alleen voldoen aan de AVG, maar ook aan de WPG.

De WPG stelt strengere eisen dan de AVG aan de beveiliging van persoonsgegevens. Dat komt omdat de bevoegdheden van boa’s verder reiken dan de gebruikelijke overheidssystemen. De daarmee samenhangende processen en systemen en procedures, zoals toegangsrechten, autorisaties, data classificatie, risico-inschatting, registratie en logging, meldplicht en documentatieplicht dienen ingeregeld te worden.

Deze processen moeten middels jaarlijkse interne audits worden gecontroleerd. Eens in de vier jaar, voor het eerst over de periode tot 31-12-2021, moet een externe auditor / RE een auditverslag uitbrengen, zowel aan de gemeente als aan de Autoriteit Persoonsgegevens. De eerste externe audit dient uiterlijk op 31 december 2022 afgerond te zijn. Indien niet aan alle normen is voldaan, dient de gemeente een verbeterplan op te stellen en dit verbeterplan te laten toetsen.

Het is erg belangrijk dat de interne audits en de externe audit goed op elkaar aansluiten. Dat maakt niet alleen de audits efficiënter, maar zorgt er ook voor dat geen onverwachte tegenvallers opduiken. At Risk Advies BV ondersteunt gemeenten bij het inrichten van deze processen en het uitvoeren van de externe audit.

IT-Controls in COVID-tijd

Vervagende grenzen

We werken met zijn allen veel meer vanuit huis en steeds minder binnen de muren van het kantoor. Hoe kunnen we de veiligheid van systemen en applicaties waarborgen als de “organisatie-grenzen” vervagen? Het gaat niet alleen om werken vanaf een andere plaats, maar ook om werken op andere tijden, met partijen buiten de organisatie en met andere apparatuur.

De nieuwe grenzen worden niet meer bepaald door de fysieke locatie van de organisatie. Hij strekt zich nu uit tot elk toegangspunt dat bedrijfsmiddelen en -diensten host of er toegang toe biedt.

Interacties met bedrijfsmiddelen en services worden nu vaak omzeild door on-premise  beveiligingsmodellen die berusten op netwerkfirewalls en VPN’s. Organisaties die uitsluitend hierop vertrouwen missen de zichtbaarheid en flexibiliteit om tijdige, end-to-end beveiligingsdekking te bieden.

Vandaag de dag hebben organisaties een nieuw beveiligingsmodel nodig dat zich beter aanpast aan de complexiteit van de huidige tijd. Mobiele medewerkers moeten optimaal worden gefaciliteerd. Mensen, apparaten, toepassingen en gegevens moeten binnen en buiten kantoor worden beschermd.

Dit is de kern van een IT-security model wat ook wel Zero Trust wordt genoemd.

Zero Trust

In plaats van te geloven dat alles achter de bedrijfsfirewall veilig is, gaat het Zero Trust model uit van een inbreuk en verifieert elk verzoek alsof het afkomstig is van een ongecontroleerd netwerk. Het doet er niet toe waar het verzoek van afkomstig is of tot welke bron het toegang heeft. Het motto is “Nooit vertrouwen, altijd verifiëren”.

In een Zero Trust model wordt elk verzoek om toegang sterk geauthenticeerd, geautoriseerd binnen beleidskaders en geïnspecteerd op anomalieën voordat toegang wordt verleend. Alles, van de identiteit van de gebruiker tot de hostingomgeving wordt gebruikt om inbreuken te voorkomen. Voordat toegang wordt verleend, wordt de locatie van een gebruiker beoordeeld, zijn rol in de organisatie, de gezondheid van zijn systeem, het type dienst en de classificatie van de gegevens waar hij toegang toe wil. Om dit effectief te doen, worden deze checks uitgevoerd met geautomatiseerde controls.

Het controlekader strekt zich daartoe uit over 6 elementen: identities, devices, applications, data, infrastructure, en networks. De controls over deze 6 elementen samen zorgen voor een veilige end-to-end security, zonder een hek te zetten om een bepaald gebied. Ook security incident responses kunnen vergaand worden geautomatiseerd.

Het implementeren van een dergelijk model kan worden gespreid in tijd en in diepgang. Het maturity-niveau is voor iedere organisatie verschillend. Een goed ingevuld zero trust model brengt uw governance en control omgeving op een hoger plan. Voor meer informatie kunt u altijd met ons contact opnemen.