De eerste stappen zijn gezet in de implementatie van de Cyberbeveiligingswet, de nationale uitwerking van de NIS2-richtlijn, en de nieuwe versie van de Baseline Informatiebeveiliging Overheid (BIO2). Tegelijkertijd kijken we kritisch naar de veiligheid en betrouwbaarheid van AI-modellen die we willen inzetten.
In het eerste kwartaal van 2026 ronden we het Strategisch Informatiebeveiligings- en Privacybeleid af. We hebben er bewust voor gekozen om informatiebeveiliging en privacy op strategisch niveau te verbinden, vanwege het nauwe inhoudelijke verband tussen beide domeinen. Het vernieuwde strategische beleid sluit inhoudelijk aan op de Cyberbeveiligingswet en het normenkader BIO2, die naar verwachting in het tweede kwartaal van 2026 in werking treden.
Ons beleid voor bedrijfscontinuïteitsbeheer (BCM) is het afgelopen jaar verder aangescherpt. De basisprincipes, rollen en verantwoordelijkheden zijn helder gedefinieerd, de kritische bedrijfsprocessen zijn expliciet benoemd en dreigingsscenario’s zijn in kaart gebracht. Tegelijkertijd geven we uitvoering aan het beleid: we werken actief aan de inrichting van continuïteit- en herstelmaatregelen en brengen de processen methodisch in beeld. Op deze manier boeken we systematisch voortgang in het realiseren van effectief bedrijfscontinuïteitsbeheer. De vaststelling van het beleid staat gepland voor het eerste kwartaal van 2026.
Effectiviteit van maatregelen
In 2025 hebben we de jaarlijkse ENSIA-zelfevaluatie uitgevoerd, waarbij een externe auditor heeft getoetst of we voldoen aan de normen van de BIO. Daarnaast zijn de specifieke audits voor DigiD en Suwinet uitgevoerd. Deze toetsingen zijn zonder significante bevindingen doorstaan, wat bevestigt dat onze informatiebeveiligingsmaatregelen voldoen aan de geldende eisen. Het college legt hierover verantwoording af in de Collegeverklaring ENSIA inzake informatiebeveiliging, DigiD en Suwinet.
In 2025 is opnieuw een TPM-verklaring afgegeven over de ICT-dienstverlening van het Shared Service Centrum Leeuwarden (SSC), op basis van een onafhankelijke audit. De verklaring is opgesteld aan de hand van de ENSIA-vragenlijst. De audit is uitgevoerd volgens assurancecriteria die toetsen op de opzet (formele vastlegging), het bestaan (daadwerkelijke toepassing) en de werking (effectieve toepassing over een relevante periode) van beheersmaatregelen die van belang zijn voor de ICT-dienstverlening aan gemeente Waadhoeke.
De TPM-verklaring laat een duidelijke verbetering zien ten opzichte van 2024. Waar in 2024 op elf onderdelen formeel niet werd voldaan aan de gestelde norm, is dit aantal teruggebracht tot twee punten. Dit toont dat de ingezette verbetermaatregelen effect hebben gehad en dat de beheersing van informatiebeveiliging aantoonbaar is versterkt.
De resterende afwijkingen zijn beperkt en concreet. Bij enkele systemen zijn de autorisatiecontroles minder frequent uitgevoerd dan het beleid voorschrijft, waardoor de uitvoering niet volledig aansluit op de vastgestelde afspraken. Daarnaast is het nieuwe wachtwoordbeleid wel vastgesteld, maar nog niet verwerkt in de Active Directory-policy, waardoor de formele naleving van deze norm nog niet volledig is gerealiseerd. De huidige inrichting voldoet inhoudelijk wel aan de eisen uit de BIO, waardoor het bijbehorende risico beperkt is. Formeel blijft echter sprake van een afwijking ten opzichte van de normen uit het gehanteerde toetsingskader.
Bewustwording
Het doorlopende bewustwordingsprogramma voor medewerkers blijft goed werken. De deelname aan Arda is stabiel op 85%, en medewerkers melden actief incidenten. Dit laat zien dat het programma, in combinatie met andere acties op het gebied van bewustwording, bijdraagt aan een groeiend bewustzijn van informatiebeveiligingsrisico's. Tegelijkertijd blijven we ook hier werken aan continue verbetering.