Stuurgroep Verantwoordingsstelsel ENSIA Afschrift aan Voor u ligt de notitie met het onderwerp hoe het verantwoordingsproces in te richten in het kader van de nieuwe ENSIA-werkwijze. In het kader van het project ENSIA wordt een verantwoordingsproces ingericht. Er wordt nu niet meer op verschillende momenten afzonderlijk verantwoording afgelegd ten behoeve van de informatiestelsels BRP, PUN, DigiD, Suwinet, BAG en BGT, maar op 1 moment. Er is een zelfevaluatievragenlijst opgesteld gebaseerd op de Baseline Informatieveiligheid Gemeenten (BIG). Op een aantal onderdelen zijn verdiepende vragen in deze vragenlijst opgenomen om aan wettelijke kaders/aansluitvoorwaarden van bij de ENSIA aangesloten informatiestelsels te voldoen. Uitgangspunten voor het verantwoordingsstelsel 1. Het verantwoordingsstelsel is erop gericht om horizontale en verticale verantwoording af te leggen over informatieveiligheidsaspecten zoals deze verwoord zijn in de BIG en de normensets van BRP, PUN, DigiD, SuwiNet, BAG en BGT. 2. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is hét gemeentelijk normenkader voor informatieveiligheid 3. Het horizontale verantwoordingsproces vormt de basis voor het verticale verantwoordingsproces. 4. Bij het afleggen van verantwoording wordt het principe van single information single audit toegepast: alle informatie die noodzakelijk is voor verticale verantwoording is ook onderdeel van het horizontale verantwoordingsproces (daarom is op maatregelniveau de BIG op een aantal punten verdiept met aanvullende vragen over BRP, PUN, DigiD en SuwiNet). 5. De bevoegdheden en verantwoordelijkheden van de ministers zoals die er nu zijn op het gebied van informatieveiligheid worden niet aangetast. 6. Het toezicht op het naleven van aansluitvoorwaarden/wettelijke eisen zijn op het niveau die verticale toezichthouders nodig achten om hun stelselverantwoordelijkheid te kunnen nemen. Pagina 1 van 11
7. Onderdeel van het horizontale verantwoordingsproces zijn: het invullen een zelfevaluatievragenlijst, een In Control Verklaring (ICV), een IT- audit en opname van het onderwerp informatieveiligheid in een jaarrapportage 1 van de gemeente. 8. In het horizontale verantwoordingsproces wordt aangesloten bij de P&Ccyclus van gemeenten. 9. Ook gemeenten die in onderdeel uitmaken van samenwerkingsverbanden blijven individueel verantwoordelijk, het zijn dus individuele gemeenten die verantwoording afleggen over informatieveiligheid. 10. Voor niet-informatieveiligheidsapecten van de BRP, PUN, BAG en BGT (m.a.w. zaken die niet door de BIG vragenlijst worden afgedekt) vindt de uitvraag volgens deze cyclus plaats als de BIG vragenlijst, waar mogelijk (in de beperkingen van tijd en capaciteit van dit project) worden ook taal, tooling en afspraken rond het verantwoordingstelsel geharmoniseerd (zie ook paragraaf verantwoordingsproces Vragen aan de stuurgroep: Eerder is gesproken over de uitvraag op hetzelfde moment. Het is echter meer gepast om te spreken over eenzelfde cyclus aangezien het verantwoordingsproces een aantal ijkmomenten kent. Bent u heeft eens met deze herformulering? Bent u het eens met de overige uitgangspunten? Verantwoordingsproces De stappen van de nieuwe ENSIA werkwijze is als volgt beschreven 2 : - Bepalen van de scope: welke informatiesystemen/processen en thema s prioriteit hebben. Dit heeft betrekking op over welke processen de zelfevaluatie gehouden wordt en waarover vervolgens een ICV wordt afgegeven en het heeft betrekking op de inhoud van de IT-audit. - Beschikbaar stellen van de zelfevaluatievragenlijst. - Verklaring van getrouwheid: bij het opsturen van de ingevulde zelfevaluatievragenlijst leveren het College van Burgemeester en Wethouders een verklaring van getrouwheid af. - ICV: het College van Burgemeesters en Wethouders ondertekent een In Control Verklaring. Daarin geeft het College aan wat goed gaat op het gebied van informatieveiligheid en wat nog niet. Of zaken als goed kunnen worden gekwalificeerd volgt uit de antwoorden op de vragen uit de zelfevaluatievragenlijst. Door middel van de zelfevaluatievragenlast kan worden nagegaan of aan normen wordt voldaan. Daar waar zaken nog niet op orde zijn geeft het College van B&W aan welke inzet het zal plegen (inclusief personele en financiële capaciteit en tijdspad) om zaken op orde te krijgen. 1 De keuze of dit de jaarrekening of het jaarverslag moet zijn wordt nog aan de stuurgroep voorgelegd 2 Zie bijgevoegd schema Pagina 2 van 11
- IT-audit: De ICV wordt moet worden goedgekeurd door een IT auditor. - Jaarrapportage: er wordt een passage opgenomen in de jaarrekening of het jaarverslag. - Verantwoording aan Gemeenteraad: De jaarrapportage en de ICV vormt vervolgens de basis voor verantwoording aan de Gemeenteraad. - Benchmarking: Om de Gemeenteraad haar werk goed te laten doen wordt een samenvatting van de stand van zaken rond informatieveiligheid binnen de verschillende gemeenten geplaatst op waarstaatjegemeente.nl. - Database: De antwoorden van de zelfevaluatie vragenlijst, de verklaring van getrouwheid, de ICV en de passage in de jaarrapportage worden opgeslagen in een database waaruit de toezichthouders op het gebied van BRP, PUN, DigiD, Suwinet, BAG en BGT kunnen putten. Dit betekent dat de toezichtshouders rapportages kunnen genereren uit de database die zij nodig hebben vanuit hun stelselverantwoordelijkheid. Op deze wijze wordt voldaan het principe single information single audit. - Ontwikkel curve: de geaggregeerde resultaten van alle gemeenten vormen input voor aanpassingen scope, de zelfevaluatie-vragenlijst en mogelijk andere aanpassingen voor het volgende jaar. Governance Om bovenstaand verantwoordingsproces effectief te laten zijn zal dit strategisch en tactisch/operationeel moeten worden aangestuurd. Sturing op strategisch niveau De sturing op strategisch niveau bestaat uit het: - Vaststellen van de scope; - Het verwerken van de consequenties van veranderingen in eisen van stelselverantwoordelijken in het verantwoordingsstelsel en het doorvoeren van verbeteringen in het verantwoordingsstelsel; - Besluitvorming over de financiën die gemoeid zijn met activiteiten ten behoeve van het verantwoordingsstelsel van ENSIA (anders dan de kosten die individuele gemeenten zelf moeten dragen). Vraag aan stuurgroep: Bent u het eens met de beschreven sturingsactiviteiten op strategisch niveau? Strategisch Platform Voorstel is de Regieraad Interconnectiviteit van de Nationaal Commissaris Digitale Overheid (Digicommissaris) het Strategisch Platform te laten zijn die de strategische aansturing voor zijn rekening neemt. Argumenten hiervoor zijn: - De Digicommissaris is aangesteld om de realisatie, verbetering en innovatie van wat de Generieke Digitale Infrastructuur wordt genoemd Pagina 3 van 11
aan te jagen. BRP, BAG, BGT en DigiD zijn onderdeel van die GDI en ook van ENSIA. - De governance van de Digicommissaris is overheidsbreed wat goed aansluit op ENSIA karakter en doelstellingen; - Het verdient niet de voorkeur om weer een nieuw platform voor ENSIA op te tuigen - Informatieveiligheid is als thema in de Regieraad Interconnectiviteit benoemd. De samenstelling van de Regieraad Interconnectiviteit is als volgt: - Ministerie van BZK - Ministerie van EZ - Logius - Ministerie van V&J - Bureau Forum Standaardisatie - Belastingdienst - Kadaster NBV - Stichting RINIS - NCSC - Rijkswaterstaat - Provincie en Gemeenten Aandachtspunten bij de keuze om de Regieraad Interconnectiviteit als strategisch platform te laten fungeren: Borgen dat partijen die nu niet vertegenwoordigd zijn in de regieraad maar wel stakeholder in ENSIA zijn vertegenwoordigd (de VNG en de ministeries I&M en SZW). De Digicommissaris is een tijdelijk construct. Vraag aan de stuurgroep Bent u het er mee eens dat de Regieraad Interconnectiviteit de rol van Strategisch Platform op zich moeten nemen? In de bijlage treft u een concept notitie aan die als doel heeft om besproken te worden in de regieraad interconnectiviteit. Zie volgend agendapunt van deze stuurgroep vergadering. Activiteiten op tactisch/operationeel niveau De sturing op tactisch/operationeel niveau bestaat uit: - Communicatie met de gemeenten Helpdesk regiobijeenkomsten - Het beheren van de tooling Inhoudelijk beheer Technisch beheer Pagina 4 van 11
Applicatie beheer - Zelfevaluatie vragenlijst Het verwerken van de vragen - Het verzorgen van rapportages aan Toezichthouders Aan strategisch platform - Het verwerken van resultaten ten behoeve van leer- en ontwikkeldoeleinden. Analyseren van uitkomsten vragenlijsten met toezichthouders Doorontwikkelen van vragenlijst Organiseren van activiteiten die gemeenten ondersteunen in hun leerproces Vraag aan stuurgroep: Bent u het eens met de beschreven activiteiten op tactisch/operationeel niveau? Een voorstel over hoe de activiteiten op tactisch/operationeel niveau organisatorisch kunnen worden opgepakt wordt op een later moment aan de stuurgroep voorgelegd. Een overleg op afdelingshoofden niveau over dit onderwerp, die gehouden wordt op 17 mei, vormt hier input voor. Verdieping op elementen van het verantwoordingsstelsel Jaarrekening of jaarverslag In de werkgroep Verantwoordingsstelstel is discussie opgekomen of er over informatieveiligheid zou moeten gerapporteerd in het jaarverslag of de jaarrekening. Overwegingen hierbij zijn de volgende Voor Jaarverslag Dit is het voorstel zoals deze is verwoord in de VNG resolutie Dit is ook een eis uit de Suwi wet- en regelgeving. Jaarrekening Hierdoor kunnen synergievoordelen worden bereikt door het samenspel tussen IT-auditor en de accountant. De inhoud van het jaarverslag wordt niet standaard getoetst op getrouwheid door daarvoor gediplomeerde personen Er is al een wettelijke borging om informatieveiligheid op te nemen in het accountantsrapport via de wet Pagina 5 van 11
Tegen Synergievoordelen met de samenwerking met de accountant zijn minder. De inhoud van het jaarverslag wordt niet standaard getoetst op getrouwheid door daarvoor gediplomeerde personen De wet op de computercriminaliteit dwingt tot opname in de jaarrekening. computercriminaliteit. De accountant is verplicht in het kader van de controle van de jaarrekening bevindingen over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking te melden. Een ander mogelijk haakje is te creëren via de commissie Besluit begroting en verantwoording (BBV) In de VNG resolutie over informatieveiligheid is opgenomen dat in het jaarverslag over informatieveiligheid wordt gerapporteerd Dit is niet conform Suwi regelgeving. Idealiter zou informatieveiligheid worden opgenomen in een bedrijfsvoeringsverslag van gemeenten. Helaas is er nog niet een dergelijk document. Daarom wordt op basis van bovenstaande overwegingen aan de stuurgroep geadviseerd om informatieveiligheid op te nemen in de jaarrekening (en dus niet in het jaarverslag) Vragen aan de stuurgroep Bent u het eens met bovengenoemd advies? Bent u het er mee eens om er bij de commissie Besluit begroting en verantwoording (BBV) op aan te dringen om informatieveiligheid als verplicht onderdeel in de jaarrekening op te nemen. Timing van de verantwoordingssystematiek van ENSIA In de werkgroep Verantwoordingsstelstel is discussie opgekomen of ENSIA het ritme zou moeten hanteren die gebaseerd is op het ritme die nu ook wordt gevolgd door RvIG (tbv de BRP en de PUN) of dat beter aangesloten kan worden Pagina 6 van 11
bij het ritme die volgt op aan het aansluiten bij moment waarop gemeenten zowel hun jaarverslag als hun jaarrekening moeten overleggen aan het ministerie van BZK. Voor beide scenario s geldt dat enige fasering zal moeten worden aangebracht van wat, wanneer gebeurd. Dit maakt het mogelijk om gericht gemeenten te ondersteunen en van elkaar leren mogelijk te maken (men zit immers allemaal in dezelfde fase op enige moment) en te voorkomen dat zaken te lang blijven liggen en gemeenten (en stelselverantwoordelijken) in problemen komen. Overwegingen hierbij zijn de volgende Voor Tegen Aansluiten bij ritme tbv de BRP en de PUN Afwijken van dit ritme vereist aanpassingen in de Wet BRP en de PUN. Aanpassingen vergen een grote omslag bij RvIG en andere actoren die betrokken zijn het leggen van verantwoording over de BRP en de PUN Sluit minder goed aan bij de P&C cyclus van gemeenten. In de VNG resolutie is aangedrongen om hierbij aan de sluiten. Efficiencyslag in de controletoren worden gemist. Aansluiten bij de ritme van het overleggen van jaarstukken aan het ministerie van BZK Sluit het best aan bij de P&C cyclus van gemeenten. In de VNG resolutie is aangedrongen om hierbij aan de sluiten. Efficiencyslag in de controletoren door fusering van de nu aparte audits. Bestuurlijk voordeel doordat het gewicht als het ware toeneemt. Dus meer aandacht van het college hiervoor. De AMvB rond de BRP en PUN zal dan op dit punt moeten worden aangepast Aanpassingen vergen een grote omslag bij RvIG en andere actoren die betrokken zijn het leggen van verantwoording over de BRP en de PUN Pagina 7 van 11
Als wordt aangesloten bij de ritme van het overleggen van jaarstukken aan het ministerie van BZK dat ziet het tijdpad er schematisch er als volgt. Wordt er bij de cyclus van de jaarstukken aangesloten dan betekent dat wat voor de timing. Gemeente moeten jaarstukken uiterlijk 15/7 bij het ministerie van BZK leveren tbv uitkeringen uit het gemeentefonds. De zelfevalatievragenlijst moet maximaal 3 maanden daarvoor zijn ingevuld (anders zijn gegevens te oud). Zie ook bovenstaand schema. Het advies aan de stuurgroep is aansluiting bij P&C van de jaarrekening. NB Vraag aan de stuurgroep Bent u het eens met bovengenoemd advies? Eisen van verticale toezichtshouders Uitgangspunt 6 van het verantwoordingsstelsel vereist dat het toezicht op een voldoende kwalitatief niveau is om als verticale toezichthouder systeemverantwoordelijkheid te kunnen houden. De eisen die de verschillende toezichthouders op dit moment stellen zijn verwoord in bijgevoegde notitie van Slijkhuis c.s. Pagina 8 van 11
Vraag aan de stuurgroep Bent u akkoord met de inhoud van de notitie over de informatiebehoefte van de verticale toezichtshouders? Welke informatiesystemen/processen worden getoetst door de zelfevaluatievragenlijst, ICV en IT-audit? Een uitdaging van het ENSIA project is om te zorgen dat gemeentelijke bestuurders gesterkt worden in hun verantwoordelijkheid voor informatieveiligheid en ook dat verticale toezichtshouders voldoende zekerheid vinden om hun stelselverantwoordelijkhied te nemen. Vraag is hoe de huidige waarborgen daarvoor kunnen worden omslagen naar proceswaarborgen in het ENSIA proces. Dit begint bij het bepalen op welke processen de zelfevaluatievragenlijst, de ICV en de IT audit van toepassing is. Voorstel is om als perspectief bij het invullen van de de zelfevaluatievragenlijst tenminste de BRP, PUN, DigiD, SuwiNet, BAG en BGT te hanteren en dat gemeenten deze scope naar eigen behoefte mogen uitbreiden (waarbij ze deze scope ook expliciet moeten maken). Bij sommige gemeenten zijn er wel 1500 applicaties, het is ondoenlijk om voor al deze systemen de BIG van toepassing te laten verklaren, dit zou een te grote administratieve last betekenen en bovendien geen recht doen aan de risico inschatting die bestuurders in gemeenten zelf willen maken. Vraag aan de stuurgroep Bent u akkoord met het tenminste hanteren van de BRP, PUN, DigiD, SuwiNEt, BAG en BGT als scope vbij het invullen van de zelfevaluatievragenlijst en dat gemeentelijke bestuurders die naar eigen behoefte kunnen uitbreiden zolang ze dat maar expliciet maken. Elementen in de ICV en IT audit De IT audit is een belangrijke proceseis om de kwaliteit van het toezicht te borgen. Het brengt echter ook extra kosten met zich mee. Reden te meer om in wijsheid dit instrument te gebruiken. Bij toezichtzichthouders zal moeten worden nagegaan of en welke thema s (zoeklichten) wenselijk vinden om in de IT audit en het ICV op te nemen. Het lijkt daarbij aantrekkelijk om te werken met een meerjarenprogramma voor thema s /zoeklichten. Voorstel aan de stuurgroep is om in een volgende stuurgroep vergadering een voorstel hierover te bespreken. Vraag aan de stuurgroep: Bent u ermee akkoord dat in en volgende stuurgroep vergadering een voorstel wordt ingebracht over inhoudelijke elementen die in de ICV en IT audit zouden kunnen worden opgenomen. Pagina 9 van 11
Diepgang van de IT-audit Qua diepgang van de IT-audit kan een onderscheid worden gemaakt tussen: - De beschreven beheersmaatregelen (opzet) - De werking van de beheersmaatregelen op 1 moment (bestaan) - De werking van de beheersmaatregelen in een periode (werking) Een diepgang van opzet en bestaan kan een beperkt aantal jaren worden toegepast. Na een aantal jaren moet een verdieping naar werking plaatsvinden. Voorstel: in de eerste 2 jaren onderzoek naar opzet en bestaan beheersmaatregelen. Vraag aan de stuurgroep: Bent u ermee akkoord dat de IT audit ingaat op opzet en bestaan? Eisen aan de IT-auditor Op dit moment wordt er bij SuwiNet en DigiD de eist gesteld dat er RE s de auditrapporten opstellen. Er lijkt geen reden te zijn om binnen ENSIA hier verandering in te brengen Vraag aan de stuurgroep: Bent u ermee akkoord dat de IT auditor in het ENSIA verantwoordingsstelsel een RE moet zijn? Financiën Er zal een kostenraming moeten worden gemaakt voor de verwachten kosten voor ENSIA in 2017 en daarna. Aangezien 2017 nog overgangsjaar is zullen in dit jaar meer kosten moeten worden gemaakt voor ondersteuning richting gemeenten. Voorstel voor uitgangspunten qua financiering van ENSIA Kosten die gemaakt moeten worden voor IT-audits en de inzet van personeel en andere investeringen tbv informatieveiligheid binnen gemeenten komen voor rekening van de individuele gemeenten. Kosten die gemaakt worden voor coördinerende activiteiten komen zowel voor rekening van de rijksoverheid als de VNG. Immers zowel gemeenten als departementen profiteren van deze coördinerende activiteiten. Er zal hiervoor een verdeelsleutel moeten worden ontworpen. Voorgesteld wordt om een verdeelsleutel te ontwerpen die prikkels in zich draagt om de verantwoordingslast waartoe verticale toezichthouders gemeenten toe dwingen zo klein mogelijk te laten zijn. Eisen die aan de IT- Pagina 10 van 11
audit worden gesteld zijn bijzonder kostenverhogend voor gemeenten. Het is daarom billijk dat verticale toezichthouders die eisen om bepaalde elementen in de IT-audit om te nemen worden verzocht om een groter gedeelte van kosten voor de coördinerende activiteiten van ENSIA te dragen. In mindere mate werken specifieke vragen in de zelfevaluatievragenlijst ook kostenverhogend voor gemeenten. Daarom zal in de verdeelsleutel ook verticale toezichthouders met weinig specifieke vragen ook kunnen worden beloond met een lagere bijdragen aan de kosten voor coördinerende activiteiten. Departementen die niet bijdragen aan de ontwikkelkosten van de ENSIA systematiek betalen een instap bijdrage wanneer ze van het ENSIA systeem gebruik willen maken. Vraag aan de stuurgroep: Bent u ermee akkoord dat gebaseerd op de bovenstaande redeneerlijn een voorstel wordt gemaakt voor de verdeelsleutel voor de kosten die gemoeid zijn met de coördinerende activiteiten voor ENSIA voor een volgende stuurgroep vergadering? Vervolg actie In samenspel met RvIG, Logius en KING wordt een inschatting gemaakt van de kostenraming voor ENSIA in 2017 en volgende. Logius en RvIG kunnen bijdragen aan deze kostenraming door hun ervaringen in te brengen t.a.v. toezicht over respectievelijk DigiD en BRP en PUN. Daarnaast heeft KING op andere domeinen ervaring opgedaan. Vragen aan de stuurgroep: Bent u ermee akkoord met deze vervolg stap? Wil de stuurgroepleden van de VNG en BZK helpen zorgen dat de RvIG, Logius en KING ruimte kunnen maken om bij te dragen aan deze vervolgactie? Pagina 11 van 11