De provincie Limburg moest als het om informatiebeveiliging gaat van ver komen en heeft flinke stappen gezet, maar voldoet nog altijd niet aan het basisniveau voor informatiebeveiliging. Dat stelt de Zuidelijke Rekenkamer op basis van eigen onderzoek. In 2018 kwam de Rekenkamer met een onderzoeksrapport naar de informatiebeveiliging bij de provincie. In het eerste kwartaal van dit jaar is in vervolg daarop gekeken naar enerzijds de stand van zaken op dit moment en anderzijds naar de doorwerking van de aanbevelingen uit 2018.

De Rekenkamer concludeert dat de provincie Limburg na het vorige onderzoek goede en flinke stappen heeft gezet waardoor sprake is van een duidelijke verbetering op het gebied van informatieveiligheid. "De provincie moest van ver komen", aldus de Rekenkamer. "De opdracht van Provinciale Staten om onze aanbevelingen op te volgen is serieus opgepakt en er is flinke beweging geweest."

Zo is er nu fysieke toegangsbeveiliging en zonder in het provinciegebouw, uitgebreide authenticatie en autorisatie in combinatie met tweefactorauthenticatie voor externe toegang tot de provinciale informatievoorziening, een aangescherpt wachtwoordbeleid van minimaal acht karakters dat zes maanden geldig is, gebruik van een interprovinciaal Security Operations Center (SOC), verscherpte controle op binnenkomende e-mail, vastgesteld patchbeleid voor omgaan met en doorvoeren van updates, netwerksegmentatie en actief gebruik van standaarden voor e-mail en alle websites waarvan de provincie geregistreerd eigenaar is.

Desondanks moet de provincie nog meters maken. "Het is echter nog niet gelukt om de opdracht helemaal uit te voeren", schrijft de Rekenkamer in het nieuwe onderzoeksrapport. Zo wordt er nog niet voldaan aan het nagestreefde basisniveau voor informatiebeveiliging en is het niet gelukt om op korte termijn procedures, processen en maatregelen in het managementsysteem te verwerken. De provincie Limburg is daarmee ook nog niet klaar voor certificering op de nagestreefde ISO27001-norm en de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) welke het basisniveau voor informatiebeveiliging geeft.

Na de zomer zal de provincie beginnen met het implementeren van nieuwe en aangescherpte maatregelen en het werken met het Information Security Management System (ISMS). Ook is de provincie van plan om in het najaar van 2022 een externe proefaudit uit te laten voeren, waardoor duidelijk wordt op welke onderdelen mogelijk nog een extra inspanning nodig is. De laatste fase betreft dan een eventuele certificering. De provincie zou hier uiterlijk 1 januari volgend jaar klaar voor moeten zijn.