Succesvolle leveranciersbijeenkomst ICT-Beveiligingsassessment DigiD

Vanochtend, 21 februari, is een bijeenkomst voor leveranciers georganiseerd over het ICT-Beveiligingsassessment DigiD. Want niet alleen gemeenten, waterschapen en provincies, maar ook leveranciers hebben een cruciale rol bij het jaarlijks uit te voeren ICT-Beveiligingsassessment DigiD. Het is een druk bezochte bijeenkomst geweest, waarbij alle ins & outs van het assessment en tevens de rol en verantwoordelijkheid van de leveranciers, ook in relatie tot gemeenten, centraal hebben gestaan.

Start vandaag nog met het assessment

Na een warm welkom door Nausikaä Efstratiades, verantwoordelijk voor de Informatiebeveiligingsdienst (IBD), zijn de leveranciers door Anita van Nieuwenborg, teamleider IBD,  bijgepraat over alle achtergronden en activiteiten met betrekking tot het ICT-Beveiligingsassessment DigiD. Vragen als: ‘Waar ligt de grens tussen leverancier en gemeente als het gaat om de 28 richtlijnen?’, ‘Wanneer moet je starten als leverancier en hoeveel tijd neemt het assessmentproces in beslag voor alle betrokkenen?’, ‘Wie, gemeente of leverancier, betaalt wat?’ zijn in een actieve dialoog met de aanwezige leveranciers beantwoord.

Belangrijkste conclusie: het is duidelijk dat een snelle start van het assessment cruciaal is. Niet alleen bij gemeenten, waterschappen en provincies, ook bij leveranciers. Het assessment heeft uiteraard betrekking op zowel de gemeente alsook op de betrokken leverancier. Kortom, start vandaag, wacht niet op morgen. Ga als leverancier om tafel met je gemeente(n), start alle noodzakelijke voorbereidingen en maak duidelijke afspraken over wie wat doet, wanneer het wordt gedaan en voor welk bedrag. Leveranciers kunnen overigens efficiency behalen door een zogenaamde TPM op te stellen, zeker in geval van standaardoplossingen. Zij kunnen d.m.v. een TPM laten zien dat de richtlijnen waar zij verantwoordelijk voor zijn in orde zijn, zodat hun gemeente(n) hier door hun auditor(s) naar kunnen laten verwijzen bij het assessment voor hun betreffende gemeente.

Afsluiting van DigiD

Als derde spreker op het programma kwam Ferenc-Jan van Zijp namens Logius aan het woord. Ook hij benadrukt het belang van snelheid als het gaat om het afronden van het assessment en het indienen van het rapport. De terugkoppeling van Logius kan bestaan uit ‘groen licht, alles akkoord’, ‘aanpassingen verrichten op basis van een veranderplan’ of zelfs ‘directe afsluiting van DigiD’  als daar aanleiding voor is op basis van de ingeleverde rapportage.

De tips vanuit gemeenten

Pieter van der Hoog, CISO van de gemeente Nieuwegein sloot de ochtend niet alleen pragmatisch, maar ook inspirerend af. De gemeente Nieuwegein is één van de negen gemeenten die vorig jaar heeft meegewerkt aan de pilot ICT-Beveiligingsassessment DigiD die door KING is uitgevoerd. Pieter heeft zijn ervaringen en die van collega-gemeenten omgezet in een aantal concrete tips en adviezen aan leveranciers. Met als kern: als gemeente en leverancier zit je sàmen in het assessmentproces. Als gemeenten voor uitdagingen staan, dan staan leveranciers dat dus ook. Belangrijk om met elkaar voorafgaand aan de start van het assessment goede afspraken te maken;  ‘wie is waarvoor verantwoordelijk’ en ‘welke relatie hebben we met elkaar (Hosting, SaaS et cetera)’. Dit geeft niet alleen transparantie, maar ook de noodzakelijke efficiency en effectiviteit. Alleen zo kan het assessment worden afgerond en de rapportage op tijd worden ingediend.

Vragen?

Mocht u vragen hebben naar aanleiding van dit bericht, stel deze aan de IBD via info@IBDgemeenten.nl.