Gisteren was de ENSIA-deadline voor het indienen van de definitieve verantwoording bij de ministeries.

En in de dagen ervoor gebeurde in veel gemeenten hetzelfde.
SharePoint-mappen die nog één keer werden doorgespit.
Mailwisselingen die teruggezocht moesten worden.
Dat ritueel kennen we. Het komt elk jaar terug.
Deelrapportages achternajagen. Bewijslast reconstrueren uit mailwisselingen. Een collegeverklaring opstellen terwijl de informatie die erin moet over tien verschillende plekken verspreid ligt.

Het punt is niet dat gemeenten hun informatiebeveiliging niet serieus nemen. Beleid is er. Eigenaren zijn aangewezen. Maar het moment dat iemand moet aantonen wat er daadwerkelijk is uitgevoerd, blijkt het overzicht er niet te zijn.

Elk jaar opnieuw.
En dit jaar wordt die kloof zichtbaarder.

BIO2 is sinds maart het verplichte normenkader. De Cyberbeveiligingswet maakt informatiebeveiliging een wettelijke zorgplicht met bestuurlijke aansprakelijkheid. Niet aansprakelijkheid voor het beleid, voor de uitvoering.
Dat verandert het gesprek in de bestuurskamer.
"We zijn ermee bezig" is dan geen antwoord meer.

Wat je nodig hebt is geen extra controlesysteem bovenop de stapel. Wat je nodig hebt is één plek waar maatregelen, eigenaarschap en bewijslast in hetzelfde werkproces zitten. Zodat de stand van zaken niet iets is dat je reconstrueert in april, maar iets dat je op elk moment kunt opvragen.

Daar is IRM360 voor gebouwd. De BIO2-overheidsmaatregelen staan als toetsbare controls in het platform, met gekoppelde acties, eigenaren en documentatie.
De ENSIA-rapportage wordt dan geen jaarlijkse zoektocht, maar een export van wat er het hele jaar al staat.

Herkenbaar? Stuur ons een bericht. Dan laten wij je zien hoe dat er concreet uitziet!