Gemeenten willen basisset inkoopeisen cyberveiligheid voor hele overheid
De Vereniging Nederlandse Gemeenten (VNG) vraagt de overheid om duidelijke regels voor de inzet van hard- en software, plus een basisset aan inkoopeisen voor cyberveiligheid. Die basisset moet dan gelden voor de hele overheid. Deze securityverzoeken zijn geuit in aanloop naar het Kamerdebat over informatiebeveiliging bij de overheid, dat morgen (donderdag 12 september) plaatsvindt.
Shutterstock
In een brief aan de woordvoerders Digitale Zaken schrijft de VNG dat gemeenten mogelijkheden zien om de inzet van risicovolle producten of diensten te beperken. Dat willen ze graag doen ‘aan de voorkant van het inkoop- en aanbestedingsproces’, in samenwerking met de leveranciers.
Mismatch in handreikingen
Het probleem is dat de handreikingen en eisensets die de verschillende ministeries hiervoor hebben gepubliceerd, niet op elkaar aansluiten. Zo zijn er de inkoopeisen cybersecurity overheid (ICO), opgesteld door de staatssecretaris voor digitalisering. De toepassing van de ICO-eisenset is onderdeel van de Baseline Informatiebeveiliging Overheid (BIO). Deze eisenset wordt waarschijnlijk verplicht als de nieuwe Cyberbeveiligingswet ingaat, want die gaat uit van de BIO.
Maar er is ook nog de toolbox veilig inkopen van de NCTV, die onlangs werd gepubliceerd. Daarbovenop stelt de minister van Economische Zaken namens de EU cybersecurityeisen aan leveranciers vanuit de Cyber Resilience Act.
Eisen in lijn brengen
De gemeenten vragen de landelijke overheid nu om de eisen aan producten of diensten uit landen met een offensieve cyberagenda in lijn te brengen met de andere eisen vanuit bijvoorbeeld de ICO, de toolbox veilig inkopen en de Cyber Resillience Act. Zo kunnen gemeenten de verantwoordelijkheid delen in het aanbestedingsproces met leveranciers en producenten.
De VNG wil daarnaast dat er interbestuurlijk een goverance en proces wordt ingericht, dat moet leiden tot ‘een samenhangende basisset aan inkoopeisen cybersecurity waar de hele overheid aan moet voldoen’. ‘Op dit moment is er […] geen interbestuurlijke governance en proces ingericht voor het opstellen, bijstellen en vaststellen van één basisset aan ICO-inkoopeisen cybersecurity waar de hele overheid aan zou moeten voldoen. Ook is er geen samenhang in de aanpak met andere vakministers,’ schrijven de gemeenten.
Tool is middel, geen doel
Tot slot merken ze op dat een tool een middel is en geen doel. Dat slaat op de toolbox veilig inkopen, die volgens hen te veel tot doel wordt verheven.
Dit artikel is eerder gepubliceerd op iBestuur, zustertitel van AG Connect.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee