Voor kleinere gemeenten is het steeds ingewikkelder om bij te blijven op alle ontwikkelingen van informatievoorziening. Zoals bijvoorbeeld de nieuwe regels op het gebied van informatiebeveiliging. Als kleine gemeente zoeken we waar mogelijk de samenwerking met onze buurgemeenten. Zo wordt samen met omliggende gemeenten onderzocht of capaciteit op specifieke vakgebieden gedeeld kan worden. Denk aan de rol van de CISO (chief information security officer) en die van de privacy officer.
Hiervoor zijn in 2025 de betreffende profielen onder een kritische loep gehouden. Dit heeft tevens gezorgd voor betere kaders in de resultaatgebieden van de ISO (information security officer). Deze functie wordt sinds juli 2025 vervuld.
BIO2 en NIS2
Cyberdreigingen nemen toe en overheidsorganisaties worden steeds vaker geraakt. Wet- en regelgeving stelt daarom strengere kaders. De NIS2-richtlijn stelt strenge eisen rond governance, risicobeheer, incidentmelding en ketenverantwoordelijkheid. BIO2 is een vernieuwde basisnorm voor informatiebeveiliging waarin een risicogebaseerde aanpak centraal staat.
Een van de belangrijkste gevolgen van deze nieuwe wetgeving is dat bestuurders expliciet verantwoordelijk worden voor cybersecurity. Zij moeten beslissingen kunnen verantwoorden, jaarlijks risico’s laten beoordelen en aantonen dat de organisatie structureel werkt met een goed functionerend Information Security management System (ISMS).
ENSIA-audit
In 2025 heeft de gemeente Zwartewaterland de jaarlijkse ENSIA-audit (Eenduidige Normatiek Single Information Audit) succesvol doorlopen. Uit de onafhankelijke toetsing door Baker Tilly is gebleken dat de gemeente op alle 21 getoetste normen voor de DigiD aansluitingen (iBurgerzaken en SIMform) het oordeel 'voldoet' heeft behaald. Daarnaast is vastgesteld dat de verantwoording over de Suwinet normen in de collegeverklaring op alle wezenlijke punten juist is. Hiermee toont de gemeente aan dat de beveiliging van digitale diensten voor onze burgers op het gewenste niveau is en dat wij zorgvuldig omgaan met de uitwisseling van persoonsgegevens.
ISMS
In 2025 is geïnvesteerd in het ISMS van gemeente Zwartewaterland. In 2026 wordt het systeem verder geïmplementeerd en beheerd door onze nieuwe ISO. Hij trekt in die implementatie samen op met de beheerder van het IBA framework (vergelijkbaar kwaliteitssysteem voor informatiebeheer), dat op hetzelfde systeem draait. De rapportages uit beide systemen zullen de bestuurders inzicht bieden in de actuele stand van zaken in alle facetten van betrouwbare, bruikbare en beschermde informatie.
Risicogestuurde informatiebeveiliging
We hebben een risicomatrix ontwikkeld waarin risico’s op significantie worden beoordeeld en maatregelen worden bepaald. Vast onderdeel van het werk van de ISO is field research aan de hand van onderwerpen, thema’s, processen of concrete casuïstiek op het gebied van informatiebeveiliging. De gevonden risico’s worden in de matrix vastgelegd en elke 3 of 4 weken wordt de matrix aan het management gepresenteerd voor de schifting in geaccepteerde en niet-geaccepteerde risico’s en de bepaling van de te nemen maatregelen.