Van Marum: overheid voldoet niet aan verplichte veiligheidsstandaarden
Websites en e-mail van overheidsorganisaties voldoen nog altijd niet aan verplichte standaarden voor het beveiligen van informatie, zo meldt demissionair staatssecretaris Van Marum voor Digitalisering in een brief aan de Tweede Kamer. De bewindsman heeft maatregelen aangekondigd om ervoor te zorgen dat overheden de regels beter gaan naleven.
Het Forum Standaardisatie, een adviescommissie met deskundigen uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap, heeft een 'Pas toe of leg uit'-lijst ontwikkeld met standaarden waar overheidsinstantie gebruik van moeten maken. De verplichting geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties.
Ondanks de verplichte standaarden blijkt in de praktijk dat veel overheidssites hier niet aan voldoen. Naleving van de standaarden wordt elk half jaar gecontroleerd. Uit de laatste meting blijkt dat 36 procent van de overheidssites niet alle standaarden correct toepast. De cijfers van de afgelopen jaren laten weinig verbetering zien. "Zoals in één van de onderzoeken wordt geconcludeerd: “de groei is er uit”", reageert Van Marum op het laatste onderzoeksrapport.
De staatssecretaris schrijft dat hij vanuit de Nederlandse Digitaliseringsstrategie (NDS) inzet op een versterkte aanpak op het afspreken, invoeren en handhaven van standaarden. Om organisaties te ondersteunen bij het naleven van de veiligheidsstandaarden worden bestaande implementatieteams, die zich nu richten op standaarden voor data-uitwisseling, opgeschaald om zich ook met informatieveiligheidstandaarden bezig te houden. "We stellen implementatiehandleidingen en codevoorbeelden ter beschikking op developer.overheid.nl", gaat Van Marum verder.
Tevens zegt de staatssecretaris dat hij laat onderzoeken hoe it-projecten en aanbestedingen bij overheidsorganisaties vooraf kunnen worden getoetst en een zwaarwegend advies mee kunnen krijgen over de uit te vragen relevante verplichte standaarden van de ‘Pas toe of leg uit’-lijst. Afsluitend laat Van Marum weten dat hij blijft inzetten op het meten en monitoren van de naleving van de regels.
Let wel: ik heb het hier over IT’ers in dienst van de overheid, of gedetacheerd bij een overheidsorganisatie, die binnen die organisatie zelf software ontwikkelen. Wanneer de volledige ontwikkeling wordt uitbesteed aan externe ontwikkelclubs worden de eisen meestal wel duidelijk meegegeven. Maar bij interne projecten die de overheid zelf bouwt is dat zeer zeldzaam.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
