3.5.4 Informatiebeveiliging
Informatiebeveiliging
Informatiebeveiliging is de verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op de volgende aspecten:
- Beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatieverwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;
- Exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn;
- Integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.
Realisatie verbeterpunten
Het voornemen was om het strategisch informatiebeveiligingsbeleid in 2025 te actualiseren, maar wordt doorgeschoven naar 2026. Het zelfde geldt voor het informatiebeveiligingsplan. Ook deze wordt doorgeschoven naar 2026.
NIS2
In het tweede half jaar van 2025 is gestart met de belegging van verantwoordelijkheden t.a.v. de implementatie van beveiligingsmaatregelen. Dit wordt in 2026 voortgezet.
Het incidentmanagement is in 2025 niet geactualiseerd. Eind Q1 van 2026 gaat de gemeente Almelo gebruik maken van een nieuwe service management tool waarna ook het incidentmanagement beleid geactualiseerd gaat worden en uitgelijnd gaat worden met overige processen waar een incidentregistratie benodigd is.
In 2025 is een centraal bedrijfscontinuïteitsplan opgesteld en in het najaar voor het eerst geoefend. Dit heeft veel nieuwe inzichten opgeleverd en wordt in de PDCA cyclus verwerkt in een geactualiseerde versie. Daarnaast is in 2025 gestart met het opstellen van decentrale bedrijfscontinuïteitsplannen (per bedrijfskritisch proces volgens handreiking van de Informatiebeveiligingsdienst (IBD) van de VNG). Dit wordt in 2026 voortgezet.
Bewustwording is een continu proces. Eind 2025 is een meerjarenplan bewustwordingsplan opgesteld en deze wordt vanaf 2026 concreet gemaakt en geïmplementeerd.
Kwetsbaarheidsbeheer
Gezien de toename van het aantal kwetsbaarheidsmeldingen vanuit de IBD heeft dit in 2025 aandacht gekregen om dit structureel in de processen te borgen. Beleid en procedure hiervoor zijn nog in de maak en de verwachting is dat dit uiterlijk Q2 2026 zal zijn afgerond. Daarna volgt implementatie.
Actuele ontwikkelingen
De vernieuwde Baseline Informatiebeveiliging Overheid (BIO2) is op 23 september 2025 vastgesteld en vanaf dat moment leidend. De BIO2 fungeert als de invulling van de per Q2 2026 wettelijke zorgplicht onder de Cbw (Cyberbeveiligingswet). De implementatie van dit vernieuwde kader vereist strategische beleidsbeslissingen en raakt de gehele organisatie. Met name twee aspecten vragen om onmiddellijke sturing:
- Beheersing van de keten: Het beleid moet expliciet de eis stellen dat alle leveranciers die diensten leveren aan kritieke gemeentelijke processen, aantoonbare, onafhankelijke zekerheid (assurance) moeten bieden over hun beveiligingsniveau. Dit vereist een herziening van het inkoop- en contractbeleid om de beveiligingsrisico's in de keten effectief te mitigeren
- Sterke authenticatie: Het beleid schrijft het verplichte gebruik van sterke authenticatiemethoden voor, zoals Single Sign-On (SSO) en Multi Factor Authenticatie (MFA), voor toegang tot alle systemen. Dit legt een dwingende noodzaak tot versnelde modernisering van het applicatielandschap en de onderliggende architectuur om aan deze beveiligingseisen te voldoen.
Dit zijn punten waar onze accountant vanaf verantwoordingsjaar 2026 op gaat toetsen.
