Tussenrapportage CISO

8 Tussenrapportage CISO

Inleiding
In deze paragraaf wordt het beeld ten aanzien van informatiebeveiliging en cybersecurity gedeeld. De meest relevante wet- en regelgeving hierbij zijn de BIO (de norm voor Informatiebeveiliging voor overheden) en de NIS2.

Ontwikkelingen

  • Vanuit multidisciplinaire werkgroepen zijn een aantal beleidsonderwerpen geactualiseerd, waaronder het beleid voor toegangsbeheer.
  • Er wordt een beleid voor verantwoord gebruik van Artificial Intelligence opgesteld, dit zal naar verwachting in Q3 van 2025 vastgesteld worden.
  • Er is een start gemaakt met het registeren van compliance in een informatiebeveiligings managementsysteem (ISMS). Dit vergroot het inzicht in de stand van de organisatie en vergroot de grip op de deelonderwerpen uit de normen voor informatiebeveiliging waar de gemeente aan moet voldoen.
  • Voor het bewustzijnsniveau van de medewerkers van gemeente Almelo is de afgelopen jaren te weinig aandacht geweest. Dit is in 2024 opgepakt door het uitrollen van een organisatiebreed awareness programma voor informatiebeveiliging en privacy.

Bevindingen

  • De recent uitgevoerde ENSIA-audit is positief verlopen, er is een plan van aanpak opgesteld om met de opgedane ervaring de komende audits verder te stroomlijnen.
  • In de eerste maanden van 2025 hebben twee incidenten plaatsgevonden waarbij, door kwetsbaarheden bij leveranciers, gegevens van (medewerkers van) gemeente Almelo bij onbevoegden terecht kwamen. Door adequaat handelen van betrokken functionarissen heeft dit verder niet tot schade geleid.
  • Er staat nog een aantal acties open vanuit de interne audit op de Wet Politiegegevens uit 2024, gericht op het vastleggen van afspraken en procedures m.b.t. informatiebeveiliging.
  • Gemeente Almelo heeft de bewaar- en vernietigingsstrategie en bijbehorend beleid nog niet op orde, hiervoor is externe ondersteuning ingehuurd.

Risico’s

  • Cyberaanvallen, onder meer door statelijke actoren en criminele netwerken
  • Datadiefstal door ongeautoriseerde toegang
  • Verminderde bedrijfscontinuïteit door aanvallen van buitenaf en kwetsbaarheden van binnenuit
  • Vertrouwensschade en imagoschade bij inwoners en ketenpartners indien vertrouwelijke informatie niet goed beschermd blijkt

Conclusie
Ten aanzien van de wet en regelgeving kan geconcludeerd worden dat ten opzichte van 2024 beter inzichtelijk is waar de aandachtspunten liggen en welke interventies nodig zijn. De hiervoor benodigde acties zijn bij de verantwoordelijke functionarissen belegd. De CISO draagt bij aan- en monitort voortgang op dit proces.  

Deze pagina is gebouwd op 09/29/2025 08:26:34 met de export van 09/29/2025 08:24:16