De term Eenduidige Normatiek Single Information Audit (ENSIA) komt de afgelopen tijd veelvuldig voorbij in gemeenteland. Hoofddoelstelling is om de auditlast van de gemeenten te verlichten én om de gemeenten in staat te stellen zichzelf te verantwoorden over informatiebeveiliging.
Dit vergt behoorlijk grote veranderingen, hetgeen niet zonder slag of sloot gaat en vele vragen oproept bij betrokkenen. Per 1 juli 2017 is de daadwerkelijke implementatie echt gestart en is het tijd om ook vanuit auditperspectief een en ander te verduidelijken.
Achtergrond en aanleiding
In een notendop: met de resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente” van 2013 hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De gemeente moet zichzelf middels een zelfevaluatie, een IT‑audit, een collegeverklaring en een passage over informatieveiligheid in het jaarverslag verantwoorden over het thema informatieveiligheid aan de gemeenteraad. Dit wordt horizontale verantwoording genoemd.
Daarnaast moeten gemeenten over een aantal zaken verticale verantwoording afleggen (aan andere instanties): de Basisregistratie Personen (BRP), DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT). De basis van deze verticale verantwoording vormt de horizontale verantwoording aangevuld met specifieke eisen per onderwerp.
Wat is ENSIA nu eigenlijk?
ENSIA biedt tooling aan gemeenten waarmee zij dit proces kunnen aansturen, in de vorm van vragenlijsten per onderwerp. De belangrijkste hoofdmoot vormt de BIG, daarnaast zijn aanvullende vragen per deelonderwerp beschikbaar. DigiD heeft dusdanig specifieke eisen dat hiervoor een eigen vragenlijst beschikbaar is. De vragenlijsten moeten ingevuld worden door de gemeente zelf en moeten komend jaar voor de onderwerpen DigiD en Suwinet ook door een Register EDP-auditor (RE) worden beoordeeld in een IT-audit. De ENSIA tooling biedt hulpmiddelen waarmee de verschillende benodigde documenten kunnen worden verzameld en (online) kunnen worden ingediend bij de juiste instanties. Het geheel wordt aan de kant van de gemeente begeleid door de Coördinator ENSIA.
Hoe ziet het proces eruit?
Op dit moment zijn de vragenlijsten net beschikbaar gesteld aan de gemeenten (per 1 juli 2017). Iedere gemeente heeft tot uiterlijk 1 oktober 2017 om de zelfevaluatie van de BRP en de PUN in te leveren en tot uiterlijk 31 december 2017 om de overige zelfevaluaties in te leveren. Hierna moet uiterlijk 1 mei 2018 de collegeverklaring zijn opgesteld inclusief een assuranceverklaring van een IT‑auditor. Als laatste moet het College B&W uiterlijk 15 juli 2018 verantwoording afleggen aan de gemeenteraad.
En wat houdt die IT-audit precies in?
Tot op heden waren de DigiD audit en de Suwinet audit afzonderlijke audits. Daarnaast was bijvoorbeeld de DigiD audit een zogenaamde “direct reporting” audit, hetgeen inhoudt dat de IT‑auditor zelf alle normen beoordeelt en de evidence verzamelt. Dit gaat veranderen naar één “assertion based” audit, hetgeen inhoudt dat de gemeente zélf verantwoordelijk is voor het verzamelen van evidence en het vastleggen van een dossier en dat de IT-auditor dit tijdens de audit beoordeelt. De ENSIA tooling helpt de gemeente bij het beantwoorden van de juiste vragen om te kunnen voldoen aan het opgestelde normenkader. Dit normenkader bevat dus zowel normen voor DigiD als voor Suwinet. Het type audit blijft voor dit jaar ongewijzigd, de IT-auditor zal dus alleen de opzet en het bestaan controleren.
Voor wie is het niet van toepassing?
ENSIA is alleen van toepassing voor gemeenten. Dit betekent dat voor DigiD audits de werkwijze niet verandert voor serviceorganisaties en andere overheidsinstanties zoals een GGD of een waterschap. Ook voor samenwerkingsorganisaties van gemeenten geldt ENSIA niet en moet een DigiD audit nog steeds op dezelfde manier worden uitgevoerd zoals dat tot op heden werd gedaan. Ook in geval van nieuwe aansluitingen blijven de aansluitvoorwaarden van Logius ongewijzigd, dus binnen twee maanden moet een assessment worden uitgevoerd.
Voor serviceorganisaties heeft ENSIA echter wel impact aangezien TPM’s éérder beschikbaar moeten zijn omdat gemeenten die nodig gaan hebben bij het invullen van de zelfevaluatie. Verwachting is dat de TPM’s half oktober beschikbaar moeten zijn.
Wat kan een gemeente al doen?
Ook aan de kant van de IT-auditors is nog niet alles volledig uitgekristalliseerd. Naar verwachting worden in september / oktober de definitieve guidances beschikbaar gesteld op basis waarvan de IT-audit moet worden uitgevoerd. Wat kunt u al wel doen?
1. Ga aan de slag met de zelfevaluatie en ENSIA tooling;
2. Zorg dat u bekend bent met de nieuwe normenkaders voor DigiD en Suwinet. Voor DigiD zijn een aantal normen gewijzigd / aangescherpt die ook betrekking hebben op de aansluithouder, zoals uw contract met uw leverancier(s);
3. Zorg dat u tijdig contact zoek met uw IT-auditor en stem de werkzaamheden goed af. Met name het goed vastleggen van uw dossier is enorm van belang voor de IT-audit. Wij hebben begrepen dat vanuit de verschillende instanties (KING, VNG) hier ook trainingen voor beschikbaar gesteld worden;
4. De datum van 31 december 2017 is een harde deadline. Overweeg om vóór 31 december 2017 een proefaudit in te plannen zodat u tijdens de daadwerkelijke audit niet voor onaangename verrassingen komt te staan.
Conclusie
Met ENSIA heeft het ministerie van BZK een stap gezet naar een structurele manier om het proces rondom de verantwoording van informatieveiligheid te professionaliseren. Ons inziens wordt met de tooling een behoorlijke stap gemaakt om dit op een toegankelijke manier te implementeren binnen de gemeenten.
Kijk voor meer informatie op https://2-control.nl/nl/it-audit-services/
