Skip to main content

UPDATE: Eenduidige Normatiek Single Information Audit (ENSIA)


Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel om de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control-cyclus. Zoals aangegeven in mijn eerdere blog over ENSIA, naar mijn mening een veelbelovende en uitdagende systematiek om de (forse) verantwoordingslast

bij gemeenten terug te dringen. Inmiddels is het 2017, het jaar waarin de landelijke uitrol van ENSIA gepland staat. Daarom een update van de stand van zaken: Waar komen we vandaan? Waar staan we nu? En waar gaan we naartoe?

Het startpunt

Als gemeente ben je verplicht jaarlijks audits uit te laten voeren. In de huidige situatie betekent dit dat je vanuit verschillende beleidsperspectieven verantwoording moet afleggen op het gebied van informatieveiligheid. De wijze van uitvraag en detaillering verschilt per audit, echter de onderwerpen overlappen elkaar deels. Dit neemt veel tijd in beslag. In november 2013, bij het aannemen van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ , hebben gemeenten daarom de wens uitgesproken dat de audit- en monitorlast op het gebied van informatieveiligheid moet worden beperkt. De VNG heeft het Ministerie van BZK gevraagd om te onderzoeken of dit mogelijk is. Naar aanleiding hiervan heeft BZK de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) gevraagd invulling te geven aan het project ENSIA. Sinds de beëindiging van de Taskforce BID in 2015 valt het project direct onder BZK.

ENSIA-pilot

De Taskforce BID heeft onderzoek verricht naar in hoeverre de BIG overlap heeft met de door beleidsdepartementen gevraagde verantwoording. Met als conclusie dat de BIG aantoonbaar overlap heeft. Aan de hand hiervan is een plan van aanpak uitgewerkt waarin het terugdringen van de audit- en verantwoordingsinspanningen centraal staat, bekend onder de werktitel; ENSIA . Uitgangspunt hierbij is het principe van Single Information Single Audit. Om te testen of de systematiek ook in de praktijk goed toepasbaar is, is er afgelopen jaar een pilot uitgezet onder zeven gemeenten. De pilot bestond uit het invullen van een op verantwoording gerichte vragenlijst aan de hand van tien thema’s uit de BIG én uit een gesprek om deze ingevulde vragenlijst te doorlopen. Op basis van de ervaringen van de pilot-gemeenten, is er eind 2016 een besluit genomen over het beschikbaar stellen van de vragenlijst en tool.

Waarborg de efficiëntie

De vragenlijst en (online) tool is een begin, maar alleen hiermee ben je er nog niet. Als je hier als gemeente ook echt efficiency uit wilt halen en de auditlast daadwerkelijk wilt verminderen, is het belangrijk om dit organisatorisch goed in te richten. Een ISMS- of GRC-tool kan hier hulp bij bieden. Meer weten over ISMS? Lees dan eens het ISMS-document van de IBD, met daarin onder andere aan welke eisen een ISMS-systeem moet voldoen, of lees de ervaringen van de gemeente Edam-Volendam, die aan de hand van ISMS informatiebeveiliging borgen in de organisatie. Dat een ISMS-systeem ook echt meerwaarde biedt voor gemeenten, heeft Aranea onlangs aangetoond op basis van een onderzoek. Interessant is de relatie/verhouding tussen de ENSIA tool en bestaande ISMS-GRC-tools. Tijdens de ISMS leveranciersbijeenkomst op 8 december is hier aandacht aan besteed.

Naast het aanschaffen van een ISMS-systeem, is het verstandig om binnen de gemeente iemand aan te stellen die het ENSIA-proces coördineert en bewaakt, dit kan bijvoorbeeld de CISO zijn. Ook dienen de portefeuillehouder informatieveiligheid en alle verantwoordelijken geïnformeerd en betrokken te worden. Benieuwd naar meer tips voor gemeenten ter voorbereiding op ENSIA? Neem dan zeker een kijkje op de pagina van de Digitale Overheid of lees de blog over ENSIA op WIIFM.

Waar gaan we naar toe?

Ondanks dat de systematiek nog in de kinderschoenen staat zijn er al organisaties die roepen ‘ENSIA’-proof te zijn. Opmerkelijk, aangezien de pilot net is afgerond. Tevens zullen zij nog iets langer moeten wachten voor ze kunnen testen of ze daadwerkelijk ‘ENSIA’-proof zijn, de uitroldatum is namelijk uitgesteld en zal dus niet op 1 april 2017 plaatsvinden. Daarnaast is me ook niet duidelijk wat er inhoudelijk met deze uitspraak wordt bedoeld.

Wat kunt u wel verwachten? Als gemeente ontvangt u in juli de uitnodiging om de zelfevaluatie Informatieveiligheid uit te voeren. Er zijn twee peildata voor het aanleveren van deze vragenlijsten. Zo dienen vóór 1 oktober 2017 de zelfevaluatie vragenlijsten BRP en PUN aangeleverd te worden, en op 31 december 2017 is de deadline voor de vragenlijst van BAG, BGT, DigiD en Suwi. Voor 2018 is het de ambitie om de peildatum voor alle informatiestelsels te stellen op 31 december. En dat is nog niet alles. Naast de zelfevaluatie vragenlijst moet er ook een Collegeverklaring Informatieveiligheid voor in het gemeentelijk jaarverslag en een assurance rapport IT-auditor (over een nog nader vast te stellen scope) worden aangeleverd. Inderdaad, sommige zaken zijn nog niet helemaal helder.

Wrap up

De voorwaarde die gemeenten hebben uitgesproken tijdens het aannemen van de Resolutie is dat de audit- en monitorlast wordt beperkt. Eindstand 2016 is dat in vergelijking met de huidige situatie, het aantal vragen over informatieveiligheid met 15% is gereduceerd. Kunnen we daarmee daadwerkelijk zeggen dat er voldoende antwoord is gegeven op de wens van gemeenten? Of laat het eigenlijk nog wat te wensen over?

Kortom; of er echt sprake is van integrale verantwoording is nog maar de vraag. Er zal allicht nog wat tijd overheen gaan voordat die wens vervuld is. Desalniettemin hebben we met ENSIA een belangrijke stap voorwaarts gezet en verzekert het een centrale positie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Wat denk jij van het project ENSIA? Hebben we belangrijke informatie gemist in deze update? Laat het ons weten!

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…