Deze nieuwe richtlijn helpt overheden voldoen aan Cyberbeveiligingswet
De rijksoverheid heeft een nieuwe richtlijn gepubliceerd die overheden helpt om invulling te geven aan de risicobeheersingsverplichtingen uit de aankomende Cyberbeveiligingswet (Cbw). De Richtlijn Risicomanagement voor Digitale Weerbaarheid, ontwikkeld door CIO Rijk, biedt een gestructureerde aanpak om risico’s op digitale ontwrichting bestuurlijk te beheersen en de weerbaarheid van overheidsorganisaties te versterken.
De richtlijn bestaat uit drie samenhangende documenten: een beleidsrichtlijn, een implementatierichtlijn en een handreiking. Samen vormen zij een hulpmiddel voor rijksoverheidsorganisaties bij het opzetten, uitvoeren en verbeteren van risicomanagement binnen het kader van de Cyberbeveiligingswet. De richtlijn is niet verplicht, maar biedt praktische ondersteuning voor organisaties die willen voldoen aan de wet- en regelgeving op het gebied van digitale veiligheid.
Van bestuurlijk kader tot praktische uitvoering
De beleidsrichtlijn is gericht op bestuurders en beschrijft wat er moet gebeuren bij de inrichting van risicomanagement voor digitale weerbaarheid. De implementatierichtlijn richt zich op inhoudelijke specialisten en beschrijft hoe die inrichting in de praktijk moet plaatsvinden.
De handreiking bevat achtergrondinformatie en extra verdiepingen van het onderwerp.
De richtlijnen sluiten aan bij de NEN-ISO 31000-norm voor risicomanagement en bij Europese en nationale kaders voor informatiebeveiliging. Ze helpen overheden om risico’s op een eenduidige manier te identificeren, te analyseren en te behandelen.
Eén taal voor risico’s
Met de richtlijnen stimuleert CIO Rijk het gebruik van een gemeenschappelijke risicotaal binnen de overheid. Ze bevorderen de samenwerking tussen bestuur, lijnmanagement en specialisten en maakt het mogelijk om risico’s tussen organisatieonderdelen en ketenpartners beter te vergelijken en te prioriteren.
Lees meer:
Een mooi drieluik dat structuur kan geven aan een complex aan noodzakelijke maatregelen. Wat versterkend zou werken is de aansluiting bij de structuur die wet- en regelgeving al kennen in het aandachtsgebied van informatie. Juist de benadering vanuit verantwoordelijkheid / bevoegdheid / verantwoording bestaat (bestuursrechtelijk) al en behoort prioriteit te hebben boven wat wordt aangevuld. Beveiliging is juridisch een verplichting die aansluit op de wettelijke opdracht.
Het drieluik gaat uit van beleid in de zin van opdrachten aan het management, de juridische opdrachten via bestuursorganen kennen die manager vooral als randvoorwaardelijk en niet per definitie als (ook) bevoegd. Daarmee ontstaat het risico dat het voorgestelde beleid niet in lijn komt met het formeel juridische beleid vanuit het bestuursrecht.
Voorbeeld, Implementatierichtlijn blz 18;
Juridisch; Indien het niet voldoen aan wettelijke (beveiligings)voorschriften (mede)oorzaak is van het ontstaan van het incident en derde partijen schade hebben ondervonden als gevolg van het incident, dan kan dat juridische gevolgen hebben.
Die definitie gaat over aansprakelijkheid (voor schade) en dus minder of niet over nakoming van wettelijke verplichtingen in de context van behoorlijk bestuur (wet- en regelgeving) en betrouwbare overheid.