VNG helpt bestuurders bij invoeren Cyberbeveiligingswet

De nieuwe Cyberbeveiligingswet (Cbw) versterkt de digitale veiligheid van gemeenten en beschermt beter tegen cyberdreigingen. De Vereniging van Nederlandse Gemeenten (VNG) helpt bestuurders bij het invoeren van deze belangrijke wet.

Gemeenten moeten hun systemen beter beveiligen om een veilige omgeving te bieden aan inwoners. De Cbw draagt bij aan het beschermen van gevoelige gegevens en continueren van publieke diensten.

Hoe bestuurders aan de slag kunnen

Wat kunnen bestuurders zelf doen voor een succesvolle uitvoering van de Cbw? En wat mogen zij hierbij verwachten van hun gemeentelijke organisatie? Bekijk de tips van de VNG: ‘Burgemeesters en wethouders aan de slag met de Cyberbeveiligingswet’.

Op 15 mei 2025 organiseerde de VNG een webinar over de voorbereiding op de Cbw. Deze online bijeenkomst was speciaal gericht op burgemeesters en wethouders en de opname is nu te bekijken.

Digitale weerbaarheid verbeteren

De Cbw is een belangrijke stap in het verbeteren van digitale veiligheid en weerbaarheid van gemeenten. En dat is hard nodig om essentiële processen beter te schermen. Denk hierbij financiële administratie, burgerzaken en verkeersregelsystemen. Zonder adequate informatiebeveiliging lopen gemeenten risico op verstoringen van vitale diensten, financiële verliezen en verlies van vertrouwen van inwoners.

Lees meer in ons dossier over de NIS2-richtlijn.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#bestuurders #burgerzaken #Cbw #cyberdreigingen #cybersecurity #cyberveiligheidswet #digitaleTransitie #digitaleVeiligheid #digitaleWeerbaarheid #informatiebeveiliging #VerenigingNederlandseGemeenten #vertrouwen #VNG

Sancties VS tegen ICC laten Microsoft knielen voor Trump en tonen aan dat de ganties van Microsoft boterzacht zijn: https://nos.nl/l/2567417 #digitaleweerbaarheid We zijn nu overgeleverd als overheid aan de grillen van Trump, ook bij onze vitale IT infrastructuur. Hier mogen we geen risico's op lopen, dus actie is vereist.

“De cyberwereld logischer en eenvoudiger maken”

Onderdeel hiervan is de seriousgame die is ontwikkeld door CIO-Rijk en het CIP.

De nieuwe RNSM-game is bedoeld om de digitale weerbaarheid te vergroten. Aart Jochem, CISO Rijk, vertelt er meer over: https://www.digitaleoverheid.nl/achtergrondartikelen/de-cyberwereld-logischer-en-eenvoudiger-maken/.

#digitaleweerbaarheid #cybersecurity @minbzk

Foto door Daphne Middeljans

“De cyberwereld logischer en eenvoudiger maken”

Jos Rippe en Aart Jochem die werken aan de digitale weerbaarheid. (Foto: Daphne Middeljans)

We zien steeds meer georganiseerde cyberaanvallen. DDoS-aanvallen, phishing, maar ook ransomware. Aan de overheid de taak om de veiligheid van data te garanderen, zodat cybercriminelen geen toegang krijgen tot cruciale informatie. Voor meer bewustwording en kennis over wat te doen tijdens een crisissituatie, hebben CIO-Rijk en het Centrum Informatiebeveiliging en Privacybescherming (CIP) een seriousgame ontwikkeld: RNSM.

Aart Jochem vertelt er meer over. Jochem is de Chief Information Security Officer (CISO) van de Rijksoverheid. Hij is verantwoordelijk voor beleid en kaders van Informatiebeveiliging en Privacy (IB&P) om risico’s te mitigeren. Jochem: “Het interessante aan het werkveld is voor mij om het ingewikkelde van deze cyberwereld logischer en eenvoudiger te maken. Als je het snapt kun je handelen. Strategische doelen van onze business vragen om keuzes in het veld van leveranciers, Big Tech en onze geopolitieke omgeving.”

Hoe is de seriousgame RNSM ontstaan?

Jochem: “De RNSM-game is onderdeel van het vergroten van de digitale weerbaarheid. Hiervoor zijn ook andere kennisproducten ontwikkeld, zoals de basisopleiding Digitale weerbaarheid. Voor de game hebben we de expertises benut van CIO-Rijk en het CIP. CIO-Rijk had een duidelijk beeld over de dilemma’s en het CIP de expertise om deze gezamenlijk om te zetten in een realistische, leerzame en speelbare game.”

En volgens Jochem is de game hard nodig: “Steeds meer professionele hackersorganisaties ontwrichten organisaties, mensen en maatschappij. Vooral met ransomware. De voorbeelden zijn legio en vaak zijn deze hackersorganisaties ongrijpbaar.  Wij moeten dus goed voorbereid zijn over de hele linie. Niet alleen technisch, maar ook in de organisatie.” Jochem geeft aan dat de medewerkers een grote rol spelen in het veilig houden van data en gegevens: “Om hen bewuster te maken van de risico’s en wat te doen tijdens een cyberaanval, hebben we samen met het CIP de seriousgame ontwikkeld.”

Wat kunnen we van de seriousgame verwachten?

Jochem: “De seriousgame is zo serieus dat je de game beleeft en ervaart alsof het echt is. Emotie wordt gevoeld met elkaar, het maakt je bewust van de risico’s en het levert inzicht op in de mogelijke impact en schade van een aanval. De game laat het belang zien van een goede voorbereiding, zoals het opstellen en regelmatig testen van een crisisplan. Maar ook: welke stappen neem je om te herstellen van een ransomware-aanval? In het moment leer je elkaar ook beter kennen. Inzicht door confrontatie. De nieuwe RNSM-game heeft dat allemaal in zich en is realistisch en leerzaam.”

Maar daar stopt het niet: “De dialoog na afloop van de game is het belangrijkste. Wat hebben we wel geregeld en wat nog niet? Bespreek dilemma’s in de koude fase, daar heb je de tijd om te organiseren. Laat de warme fase niet een hete fase worden.”

Wat maakt weerbaarheid en bewustzijn zo belangrijk als middel tegen cyberaanvallen?

Jochem vertelt dat de technische mogelijkheden niet voldoende zijn om cyberincidenten te voorkomen: “We kunnen niet alles dichttimmeren, het proces moet werkzaam zijn en blijven voor alle ambtenaren. Daarom zetten we volop in om medewerkers bewust en weerbaar te maken. En dit doen we onder andere door de basisopleiding Digitale weerbaarheid en de RNSM-game. Door potentiële gevaren vroegtijdig op te merken én te melden, kunnen we veel kostbare herstelwerkzaamheden voorkomen.”

Welke tips kun je alvast meegeven als het gaat om digitale weerbaarheid?

Jochem: “Mijn 1e tip: ‘be prepared en don’t panic’. Zorg dat je je noodplan klaar hebt. En blijf nadenken, we hebben met elkaar en onze kennispartners voldoende kennis en vaardigheden in huis.”

Als 2e noemt Jochem binnen je vakgebied blijven: “De ontwikkelingen volgen elkaar razendsnel op. Investeer in het opleiden van medewerkers, bestuurders en professionals. Maar ook in de cultuur, zodat medewerkers incidenten durven te melden. En natuurlijk: je aanmelden voor de RNSM-game.” Want zoals Jochem aangeeft: “Het is niet langer de vraag of je te maken krijgt met een cyberaanval, zoals ransowmare, maar wanneer!”

Wil je meedoen aan de seriousgame? Meld je aan via de website van RADIO of via de website van het CIP.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#cybersecurity #digitaalWeerbaarheid #digitaleWeerbaarheid #gegevens #nieuwsbrief92025 #Privacy #seriousgame

De 5 basisprincipes van digitale weerbaarheid van @ncsc_nl biedt organisaties houvast bij het ontwikkelen van een gezonde en degelijke cyberbeveiligingsstrategie.

Deze basisprincipes zijn:
🔑 Breng je risico’s in kaart
🔑 Bevorder veilig gedrag
🔑 Bescherm systemen, applicaties en apparaten
🔑 Beheer toegang tot data en diensten
🔑 Bereid je voor op incidenten

Lees hier het volledige bericht: https://www.digitaleoverheid.nl/nieuws/ncsc-geeft-5-basisprincipes-van-digitale-weerbaarheid/

#cybersecurity #digitaleweerbaarheid #basisoporde

NCSC geeft 5 basisprincipes van digitale weerbaarheid

Hoeveel risico loopt jouw organisatie op cyberaanvallen? In hoeverre zijn systemen, applicaties en apparaten beschermd? En hoe goed ben je voorbereid op incidenten? De 5 basisprincipes van digitale weerbaarheid van NCSC biedt organisaties houvast bij het ontwikkelen van een gezonde en degelijke cyberbeveiligingsstrategie. Hoe ver je als organisatie ook bent op dit gebied.

Digitale dreigingen zijn voor iedereen aan de orde van de dag. Om je organisatie digitaal weerbaar te maken tegen cyberrisico’s, is het belangrijk de basis op orde te krijgen. Maar waar begin je?

De 5 basisprincipes in beeld

Om organisaties daarbij te helpen, heeft NCSC deze 5 basisprincipes van digitale weerbaarheid ontwikkeld. Geen one-size fits-all set, maar wel zo opgesteld dat elke organisatie ermee uit de voeten kan.

• Basisprincipe 1. Breng je risico’s in kaart: op die manier weet je wat te beschermen en welke maatregelen passend zijn.
• Basisprincipe 2. Bevorder veilig gedrag: maak medewerkers bewust van risico’s en zorg voor een veilige omgeving voor het melden van incidenten.
• Basisprincipe 3. Bescherm systemen, applicaties en apparaten: kies voor veilige instellingen en monitor je omgeving, zodat je problemen tijdig signaleert.
• Basisprincipe 4. Beheer toegang tot data en diensten: geef medewerkers alleen de toegang tot data en diensten die nodig is om hun werk te doen.
• Basisprincipe 5. Bereid je voor op incidenten: oefen verschillende scenario’s, maak regelmatig back-ups en test deze ook. Zo kun je snel reageren en herstellen.

Meer informatie

Voor grotere ondernemingen en organisaties die onder de NIS2 vallen, licht het NCSC deze basisprincipes uitgebreid toe. Zelfstandigen en mkb’ers vinden meer informatie op de pagina van het Digital Trust Center.

Download de 5 basisprincipes infosheet.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#basisprincipes #cyberaanvallen #cyberbeveiligingsstrategie #cyberincidenten #cyberrisicoS #digitaleWeerbaarheid #NCSC #nieuwsbrief82025 #NIS2

“Leg de focus op weerbaarheid, niet op de perfecte score”

Op de website Basisbeveiliging.nl kunnen professionals zien of organisaties hun digitale basisveiligheid op orde hebben. Op kaarten zie je per doelgroep met stoplichtkleuren hoe het ervoor staat. Initiatiefnemer Elger Jonker en Geert-Jan van de Ven, directeur van Centrum Informatiebeveiliging en Privacybescherming (CIP), gaan in op hun gezamenlijke doel en de ontwikkelingen. Dit artikel is een bewerking van een interview op de website van CIP, dat Basisbeveiliging.nl financieel steunt.

Het gezamenlijke doel van beide partijen

Zowel Basisbeveiliging.nl als CIP zijn niet in het leven geroepen om verplichtingen op te leggen of overheidsorganisaties de les te lezen. Beide partijen zijn een voorstander van transparantie en willen organisaties verleiden om snel te handelen op onvolkomenheden. Jonker: “Natuurlijk is het een mooi streven om als organisatie groen te kleuren op Basisbeveiliging.nl. Maar een terugval naar oranje of zelfs rood is goed mogelijk. Vooral als er een upgrade heeft plaatsgevonden of er een nieuw project is gestart. Dit voorkomen is duur, onrealistisch en helemaal niet nodig. Van belang is dat je te allen tijde in control blijft, zodat terugval tijdelijk is.” Van de Ven: “Eigenlijk is het ultieme doel dat alle overheidsorganisaties de digitale veiligheid zodanig op orde hebben dat Basisbeveiliging.nl overbodig is. Maar zo’n vaart zal dat niet lopen; de signaalfunctie en aandacht voor de werkelijke stand van zaken blijft altijd nodig.”

Ontwikkelingen bij Basisbeveiliging.nl

Inmiddels brengt Basisbeveiliging.nl zo’n 10.000 organisaties in kaart. Al deze informatie is afkomstig uit openbare bronnen. Als een kaart bijna volledig groen kleurt, worden er risico’s toegevoegd. Niet om te pesten, maar om de lat hoger te leggen. Wel houdt Basisbeveiliging.nl rekening met geplande beveiligingsupdates van grote leveranciers als Microsoft. Omdat overheidsorganisaties hier geen invloed op hebben, worden zij er niet negatief op beoordeeld. Jonker: “Afgelopen jaar hebben we aan 100 organisaties een ‘baseline cybersecurity certificaat’ uitgereikt: zij stonden tijdens de testperiode minstens een dag lang op groen. Komend jaar gaan we de ontwikkelingen die organisaties doormaken visualiseren. Soms hebben zij veel werk verzet zonder nog van kleur te veranderen en dat willen we inzichtelijk maken.”

Basisbeveiliging.nl: voor wie?

De doelgroep van Basisbeveiliging.nl is juist niet alleen informatiebeveiligingsspecialisten. Ook bestuurders kunnen erop nagaan of de werkelijkheid overeenkomt met de interne rapportages die zij ontvangen. Een inkoper ziet of de dienstverlener up-to-date is. Leveranciers kunnen checken of zij nog steeds aan de gestelde (basis)eisen voldoen. Voor burgers is het interessant om te zien of een overheidsorganisatie goed en zorgvuldig omgaat met online veiligheid en privacy, zoals de plaatsing van volgcookies. Van de Ven: “Regelmatig zit er een verschil tussen de managementrapportage, waar filters overheen zijn gegaan, en de daadwerkelijke digitale veiligheid. Ik raad bestuurders aan om de resultaten op Basisbeveiliging.nl als hulpmiddel te gebruiken in gesprek met de CISO. Deze input geeft andere voeding en bovendien geeft het een beeld dat openbaar is en iedereen dus kan inzien.”

Een aantal tips

Jonker: “Wat we kunnen leren van goed presterende organisaties, bijvoorbeeld de 3 grootste banken, is dat het opruimen van (oude) domeinen een enorm verschil maakt. Veel organisaties hebben tientallen, soms meer dan 100 domeinen actief staan waarvan een groot deel niet meer relevant is en niemand weet wie de producteigenaar is of was.” Van de Ven: “Leg binnen jouw organisatie de focus op weerbaarheid in plaats van op de perfecte score en maak bewuste keuzes als het gaat om informatiebeveiliging. Een grote overheidsorganisatie die bijzondere persoonsgegevens verwerkt, dient anders om te gaan met digitale beveiligingsrisico’s dan de basisschool bij jou in de buurt. Als je de gestelde prioriteiten maar kunt toelichten.”

Meer weten?

• Lees het volledige artikel op de website van CIP.
• Bekijk ook de Cyberbeveiligingswet (Cbw) als implementatie van de NIS2.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#basisbeveiligingNl #beveiliging #CIP #cybersecurity #digitaleWeerbaarheid #nieuwsbrief82025

Basisopleiding Digitale weerbaarheid van start

Hoe ga je om met informatie? Hoe bescherm je (persoons)gegevens? En hoe herken je dreigingen? Je leert het tijdens de gratis basisopleiding Digitale weerbaarheid.

Meer informatie: https://www.digitaleoverheid.nl/nieuws/basisopleiding-digitale-weerbaarheid-van-start/.

#digitaleweerbaarheid #digitaalweerbaar
@minbzk @radio

Basisopleiding Digitale weerbaarheid van start

De overheid werkt veel met gevoelige en vertrouwelijke informatie. Denk bijvoorbeeld aan persoonsgegevens. Burgers en bedrijven moeten erop kunnen vertrouwen dat dit soort informatie goed wordt beschermd. Daarom moeten alle medewerkers van de Rijksoverheid verplicht de opleiding Digitale weerbaarheid volgen.

Deze online basisopleiding geeft je inzicht in hoe je moet omgaan met (digitale) informatie. Het maakt je bewust van belangrijke aspecten om informatie veilig te houden. Op het werk, maar ook thuis. Zo blijf je overal digitaal weerbaar.

7 thema’s

Voor deze opleiding heeft CIO Rijk samen met een rijksbrede redactieraad, de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO) en een gespecialiseerde leverancier een e-learning ontwikkeld. De e-learning bestaat uit een startmodule en 7 thema’s, namelijk:

1. Omgaan met informatie;
2. Veilig werken op kantoor;
3. Veilig samenwerken;
4. Veilig thuiswerken;
5. Veilig werken onderweg;
6. Omgaan met persoonsgegevens en privacy;
7. Pas op voor cybercriminelen.

Elk thema bestaat uit 1 of meerdere modules en een toets. De 7 thema’s zijn gebaseerd op de Gedragsregeling voor de digitale en fysieke werkomgeving. Met de online basisopleiding leer je op verschillende manieren hoe jij kunt bijdragen aan de digitale weerbaarheid van jezelf en de Rijksoverheid. Van praktische voorbeelden en stellingen, tot aan interactieve verhalen en geluidsfragmenten.

Volg de opleiding Digitale weerbaarheid

De basisopleiding Digitale weerbaarheid is voor leidinggevenden en medewerkers. Organisaties kunnen zelf bepalen hoe ze met deze e-learning aan de slag gaan. Een aantal organisaties, zoals de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en van Infrastructuur en Waterstaat (IenW), zijn al begonnen aan de opleiding. Mocht jouw organisatie geen eigen LeerManagementSysteem hebben om de e-learning te gebruiken, kun je de opleiding volgen via het platform van RADIO.

Het volgen van de opleiding duurt ongeveer 4 uur en je kunt het op je eigen tempo en moment van de dag volgen. Het systeem houdt bij waar je bent gebleven, zodat je de volgende keer direct weer verder kunt. De toets moet wel in 1 keer worden gemaakt.

Heb je een vraag? Bekijk de veelgestelde vragen op de website van RADIO (inloggen verplicht) of neem contact op door te mailen naar postbus_digitale_weerbaarheid@minbzk.nl.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#cybersecurity #digitaalWeerbaar #digitaleWeerbaarheid #nieuwsbrief72025 #persoonsgegevens #Privacy

Nieuwe seriousgame over ransomware

CIO-Rijk en het Centrum Informatiebeveiliging en Privacybescherming (CIP) hebben samen een nieuwe seriousgame ontwikkeld: de Serious Ransomwaregame. Deze game biedt een laagdrempelige en interactieve manier om deelnemers bewust te maken van de dilemma’s en stress die ontstaan in een crisissituatie. Om zo digitaal weerbaarder te worden. 

Wat doe jij in een crisissituatie?

De game plaatst deelnemers in de situatie waarin hun organisatie besmet raakt met ransomware. Wat doe je tijdens zo’n crisis? Betaal je het losgeld of niet? Kun je de crisis bezweren, en hoe ga je om met de enorme druk die daarbij komt kijken? Het is aan jou en je teamleden om de juiste beslissingen te nemen. Je krijgt inzicht in de complexe keuzes die gemaakt moeten worden en de gevolgen van verschillende acties.

De Serious Ransomwaregame is voor groepen van 12 tot 15 deelnemers en samen vorm je het crisisteam. RADIO (RijksAcademie voor Digitalisering en Informatisering Overheid) en het CIP faciliteren de seriousgame. Na deelname kun je ook in aanmerking komen voor een rol als moderator om de game te begeleiden.

Meedoen aan de Serious Ransomwaregame?

Geef je op via de website van RADIO of via de website van het CIP.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#cyber #cybercrime #cybersecurity #digitaalBewustzijn #digitaalWeerbaar #digitaleWeerbaarheid #digitalisering #nieuwsbrief62025

Consultatie Uitvoeringswet Verordening cyberweerbaarheid

Van 7 maart tot en met 6 april 2025 kan iedereen reageren op de concept-uitvoeringswet Verordening cyberweerbaarheid. Het doel van de consultatie is om belanghebbenden te betrekken bij het tot stand komen van deze uitvoeringswet. Na afloop van de consultatieperiode worden alle reacties bekeken en waar nodig in de wet verwerkt.

Cybersecurityeisen

Consumenten, bedrijven en andere organisaties in de EU moeten erop kunnen vertrouwen dat de digitale producten die zij gebruiken veilig zijn. Dit is ook belangrijk voor de digitale weerbaarheid van Europa. De Europese Verordening cyberweerbaarheid (Cyber Resilience Act) introduceert daarom cybersecurityeisen voor alle producten met digitale elementen. Denk bijvoorbeeld aan babyfoons of smartwatches. Voor fabrikanten van deze producten geldt een meldplicht bij actief uitgebuite kwetsbaarheden en ernstige incidenten.

Uitvoeringswet in Nederland

De Cyber Resilience Act (CRA) heeft rechtstreekse werking en wordt dus niet omgezet in nationale wetgeving. Wel moet een uitvoeringswet vaststellen wie deze in Nederland uitvoert, wie toezicht houdt en wie handhaaft. Hetzelfde geldt voor de bijbehorende boetebevoegdheden en rechtsbescherming. Lees meer over deze rolverdeling.

Deelnemen

Bekijk de concept-uitvoeringswet op overheid.nl om deel te nemen aan de consultatie.

Online informatiesessie

Wil je meer weten over de uitvoeringswet en de CRA? Het ministerie van Economische Zaken organiseert op dinsdag 25 maart 2025 van 15:00 tot 16:30 uur een online informatiesessie. Aanmelden en vooraf vragen doorgeven kan door een e-mail te sturen: b.vanderwal@minezk.nl

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#CRA #CyberResilienceAct #cybersecurity #digitaleWeerbaarheid #internetconsultatie #nieuwsbrief52025 #VerordeningCyberweerbaarheid

Een website met een lijst met Europese alternatieven voor bekende Amerikaanse software, waaronder een aantal open source software varianten:

#digitaleweerbaarheid #eurostack
https://european-alternatives.eu/alternatives-to

De ICT-sector het zwaarst getroffen door ransomware

Van de Nederlandse bedrijven en organisaties die in 2024 slachtoffer werden van ransomware, was de ICT-sector het zwaarst getroffen. De bereidheid om losgeld te betalen lag op 29 procent. Dit blijkt uit het Jaarbeeld Ransomware 2024.

Ransomware is schadelijke software die computers binnendringt en bestanden versleutelt. Aanvallers eisen vervolgens losgeld van hun slachtoffers om de bestanden te decoderen. Het Digital Trust Center (DTC) signaleerde enkele opvallende trends:

• De ICT-sector was met 24 procent de meest getroffen sector, bijna een verdubbeling ten opzichte van het jaar ervoor. Gevolgd door de sectoren handel (20 procent) en industrie (13 procent).
• In de meeste gevallen gebeurde de aanval via een account take-over (38 procent), waarbij een aanvaller volledige controle over een account kreeg, vaak met gestolen inloggegevens.
• 29 procent van de slachtoffers betaalde losgeld, een stijging van 11 procent ten opzichte van 2023.
• In 2023 werden 147 ransomware-incidenten gemeld. Dit aantal daalde in 2024 naar 121. Van deze incidenten zijn er 76 bekend via aangiften en 20 via incident response-bedrijven.
• De ransomwaregroep Cactus was verantwoordelijk voor veel Nederlandse slachtoffers en maakte misbruik van een kwetsbaarheid in Qlik Sense Server.

Project Melissa

Het Jaarbeeld Ransomware 2024 is gepubliceerd door het project Melissa, een samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC) en bij Cyberveilig Nederland aangesloten cybersecuritybedrijven. De incidentinformatie uit het jaarbeeld is gebaseerd op data van het NCSC, de politie en 9 beveiligingsbedrijven. Tips om cyberrisico’s voor ondernemers te verkleinen staan in de 5 basisprincipes van veilig digitaal ondernemen.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#digitaleWeerbaarheid #DTC #ransomware

Wil je de digitale weerbaarheid van je team vergroten? Met de nieuwe serious game RNSM leren teams spelenderwijs omgaan met de impact van een ransomware-aanval. Deze game is ontwikkeld door het Centrum Informatiebeveiliging en Privacybescherming (CIP) en CIO Rijk.

Leer samen te werken, snel beslissingen te nemen en effectief om te gaan met cyberdreigingen. Een realistische en leerzame ervaring voor iedere organisatie.

Lees meer op https://www.digitaleoverheid.nl/nieuws/cybercrisis-oefenen-speel-de-nieuwe-rnsm-game/

#digitaleweerbaarheid #seriousgame

“Samen digitale weerbaarheid op een hoger niveau brengen”

Sinds 1 juni 2024 is Art de Blaauw als directeur CIO Rijk (BZK) de aanjager van het digitaliseringbeleid van de Rijksoverheid. In zijn eerste maanden kreeg hij te maken met 3 grote cyberincidenten. “Voor een volgende stap in cyberweerbaarheid wil ik die eerst goed te evalueren en daar lessen uit trekken.”

De Blaauw vindt de samenwerking aan digitalisering binnen de overheid cruciaal. “Samen zorgen voor een digitale overheid  die toegankelijk, open, responsief, duurzaam, veilig en wendbaar is”. Dat is in 1 zin waar hij zich als CIO Rijk samen met de directies Digitale Overheid en Digitale Samenleving hard voor wil maken. Rijksbrede digitale weerbaarheid is dan ook een van zijn hoofdthema’s. Daarin werkt zijn directie samen met de departementen en rijksoverheidsorganisaties. Voor een digitaal weerbare Rijksoverheid wil hij nog nauwer gaan samenwerken met andere organisaties op dit terrein, zoals de Nationaal Coördinator Terrorisme en Veiligheid (NCTV), het Nationaal Cyber Security Centre (NCSC), de directie Digitale Samenleving (BZK) en de ministeries van Justitie & Veiligheid, Economische Zaken en Defensie.

Over Art de Blaauw

3 incidenten

De Blaauw: “3 incidenten in mijn eerste 100 dagen, dat is aan de hoge kant. We gaan deze goed evalueren en daar lessen uit te trekken.” Wat hem duidelijk werd: “We moeten niet alleen waakzaam zijn voor moedwillige aanvallen, maar ook voor onbedoelde uitval.”

Volgende stappen

De Rijksoverheid werkt al veel samen aan digitale weerbaarheid, vertelt de Blaauw. “Zoals op het gebied van Red Teaming. Daarmee testen we de beveiligingsmaatregelen van een organisatie of keten met een gesimuleerde cyberaanval, met als doel ervan te leren en cyberweerbaarder te worden. Ook hebben we gezamenlijke aanpak om de Security Operations Centers binnen de Rijksoverheid te versterken. Door hier samen in op te trekken, leren we van elkaar en brengen we de digitale weerbaarheid gezamenlijk naar een hoger niveau.”

De Blaauw geeft nog een paar voorbeelden. “Op een meer technisch vlak van informatiebeveiliging werken we aan de Nationale Cryptostrategie voor de bescherming van rijksoverheidsinformatie met het hoogste beveiligingsniveau. Daarnaast bereiden we ons voor op de dreiging van de quantumcomputer. Die is namelijk binnenkort in staat om onze meest gebruikte cryptografie (versleuteling van gegevens, red.) te kraken.” Hij ziet meer mogelijkheden om de cyberweerbaarheid verder te verhogen. “Ik vind dat we meer de risico’s van de toeleveranciers van diensten en apparatuur uit landen met een offensief cyberprogramma moeten benoemen en aanpakken. Daar gaan we in ons beleid aan werken.”

Voorbereiden op dreiging quantumcomputer

Samenwerking CIO Rijk en CISO Rijk

Binnen de directie CIO Rijk is de CISO Rijk het 1e aanspreekpunt bij cyberincidenten, ondersteund door zijn eigen afdeling Informatiebeveiliging en Privacy. “We hebben gelukkig een heel goede CISO Rijk: Aart Jochem. Hij heeft een schat van aan ervaring, waar ik echt op kan bouwen.” Bij cyberincidenten staan de CISO Rijk en de CIO Rijk samen aan de lat, al is daar ook een volgorde in. “Eerst komt het incident bij de CISO Rijk, ik ben het volgende aanspreekpunt.”

De samenwerking tussen de CISO’s en de CIO’s van de Rijksoverheid ziet er als volgt uit: “De interdepartementale samenwerking is georganiseerd in de CISO-raad waar Aart voorzitter van is, met de CISO’s van de Rijksoverheidsorganisaties. Deze raad is een ‘voorportaal’ van het CIO-beraad, met daarin de CIO’s van de departementen en de grote publieke dienstverleners. Dat beraad zit ik voor. De CISO-raad doet voorstellen voor informatiebeveiliging voor de Rijksoverheid aan het CIO-beraad. Die samenwerking en de brede afweging op onderwerpen is dus goed gestructureerd.”

De Blaauw ziet verschillen in werken tussen de Rijksoverheid en het bedrijfsleven. De bevlogenheid van zijn collega’s valt hem in positieve zin op. Maar hij moet er nog wel aan wennen dat bij de overheid de documentenstroom langs veel overlegstructuren gaat. “Ik leg graag meer focus op het behalen van resultaten, dan op hoe je vraagstukken verwoordt.”

Strategische vraagstukken

De verschillende onderwerpen waar hij verantwoordelijk voor is, hangen onderling samen. Informatiebeveiliging heeft bijvoorbeeld parallellen met thema’s als risicomanagement en IT-sourcing, vertelt hij. “We kunnen bijvoorbeeld te afhankelijk zijn van bepaalde leveranciers of oplossingen. Dat zijn strategische discussies. Stel dat er iets gebeurt in een veelgebruikt systeem en er gaat iets mis bij de leverancier. Dan hebben we als overheid flinke uitdagingen.” Hij geeft een ander voorbeeld van een maatschappelijk en strategisch vraagstuk: “Met de verhoogde geopolitieke politieke dreigingen moeten we er klaar voor zijn als de digitale infrastructuur om wat voor reden dan ook een keer uitvalt.”

Voorbereiden op incidenten

De maand oktober was de cybersecuritymaand. Daarin vond onder andere de overheidsbrede cyberoefening plaats. De Blaauw vindt oefenen van groot belang als voorbereiding op incidenten. “Het helpt het bewustzijn van de organisatie te verhogen en om beter samen te kunnen handelen tijdens een cybercrisis.” Ook oefeningen in een groter (overheids-)verband zoals ISIDOOR, vindt hij daarom waardevol. “We werken steeds meer in ketens; bijna alles is met elkaar verbonden. Door samen te oefenen weet je elkaar beter te vinden als er echt incidenten plaatsvinden. Ook zorgen we er op die manier voor dat de crisisaanpakken op elkaar aansluiten.”

Overheidsbrede cyberoefening

Bestuurders: oefen ook mee

Het is essentieel dat bestuurders en hoge ambtenaren regelmatig oefenen, benadrukt hij. “Dat versterkt hun leiderschap tijdens een echte crisis. Crisissen gaan gepaard met tijdsdruk, onzekerheid en een hoge mate van urgentie. Vaak is de bestuurder voorzitter van het crisisoverleg en deze moet dan snel besluiten kunnen nemen. Omdat de informatie-uitwisseling tijdens zo’n crisis anders is, moet je wel een paar keer hebben gedaan om dat goed te kunnen doen.”

De Blaauw heeft 3 adviezen voor bestuurders. Het is allereerst raadzaam een cursus crisisbeheersing te volgen. Hij volgde zelf de Interdepartementale Basisopleiding Crisisbeheersing bij de Nationale Academie voor Crisisbeheersing. “Daar leerde ik de volgende les: denk als voorzitter van een crisisoverleg zoveel mogelijk hardop, zodat je de mensen meeneemt in je gedachtevorming voorafgaand aan het nemen van een besluit.” Een 2e advies: “Crisismanagement is ook netwerkmanagement. Zorg dus dat je de bestuurders van andere organisaties in jouw keten of binnen jouw terrein kent, zodat je makkelijker met hen kunt schakelen tijdens een incident of crisis.” Ten 3e: “Assume breach: ga ervanuit dat aanvallers al aanwezig zijn in je systemen. Richt je bij cybersecurity dus niet alleen op de buitenkant om te zorgen dat niemand binnenkomt. Richt je óók op de binnenkant, zodat een onverwachte of ongeautoriseerde activiteit snel ontdekt wordt en de schade beperkt blijft.”

Hij sluit af met een tip aan iedereen die bij een cybercrisisoverleg is betrokken: “Doe aan risicomanagement. Weet wat de kroonjuwelen van jouw organisatie zijn, die wil je altijd beschermen en veiligstellen. Welke risico’s horen daarbij en welke maatregelen kun je daarvoor nemen?”

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl

#CIORijk #cyberoefening #cyberweerbaarheid #digitaleWeerbaarheid #nieuwsbrief202024 #redTeaming #weerbaarheid

Wil jij bijdragen aan een veilig verbonden Nederland? Bij onze themadirectie #digitaleweerbaarheid hebben we op deze #maandagbaandag meerdere #vacatures openstaan:

🖇️ Verbindend senior adviseur NIS 2 voor overheidsentiteiten.
https://www.werkenvoornederland.nl/vacatures/verbindend-senior-adviseur-nis-2-voor-overheidsentiteiten-RDI-2024-0018

🔎 Senior inspecteur datagedreven NIS 2
https://www.werkenvoornederland.nl/vacatures/senior-inspecteur-datagedreven-nis-2-RDI-2024-0019

🧭 Coördinerend inspecteur NIS 2 voor overheidsentiteiten
https://www.werkenvoornederland.nl/vacatures/coordinerend-inspecteur-nis-2-voor-overheidsentiteiten-RDI-2024-0020

🔐 Coördinerend Inspecteur Cybersecurity Act (CSA)
https://www.werkenvoornederland.nl/vacatures/coordinerend-inspecteur-cybersecurity-act-csa-AT-2023-0098

Digitaal weerbaar: “Medewerkers als sterkste schakel”

Van links naar rechts: Aart Jochem, Bart Pieters, Jos Rippe. (Foto: René de Gilde)

Begin dit jaar is het beleid voor een verplichte basisopleiding digitale weerbaarheid vastgesteld. De overheid werkt veel met gevoelige en vertrouwelijke gegevens. Burgers en bedrijven moeten erop kunnen vertrouwen dat hiermee zorgvuldig wordt omgegaan. Daarom is het belangrijk dat alle medewerkers bij de Rijksoverheid de opleiding volgen.  

Op dit moment wordt gewerkt aan de invulling ervan. Aart Jochem, Chief Information Security Officer (CISO) Rijk, Bart Pieters, Adviseur informatiebeveiliging en privacy en Jos Rippe, Projectleider digitale weerbaarheid, werken aan de versterking van de digitale weerbaarheid. Zij vertellen meer over de opleiding en waarom deze zo belangrijk is. 

Wat verstaan we onder digitale weerbaarheid?

Pieters: “Digitale weerbaarheid gaat over het onverstoord kunnen gebruiken van digitale processen en voorzieningen. Enerzijds door zo veel mogelijk te voorkomen dat er storingen optreden. Anderzijds door ervoor te zorgen dat alles snel weer functioneert als er toch iets misgaat. Hiervoor hanteren wij het PPT Framework: People, Process, Technology. Met de basisopleiding digitale weerbaarheid richten wij ons op de medewerkers (people), zodat zij op de hoogte zijn van risico’s en de kennis hebben om er goed mee om te gaan. ‘Process’: je wilt dat het proces helder en makkelijk uit te voeren is. En als laatste is het belangrijk dat organisaties beschikken over de juiste voorzieningen (technology).”

Waarom is het belangrijk dat medewerkers de opleiding volgen?

Pieters: “We kunnen heel veel regelen en beschermen met techniek en processen, maar om digitaal weerbaarder te worden is het belangrijk dat medewerkers bepaalde situaties herkennen. En weten hoe zij hiermee om moeten gaan. Denk bijvoorbeeld aan het herkennen van een phishing mail; wanneer ze weten waarop ze moeten letten, klikken ze er niet op.” Jochem: “Inderdaad. Als medewerkers zo’n situatie herkennen en het ook melden, zijn organisaties veel beter in staat om een lek, aanval of incident in de kiem te smoren. Vandaar dat we ook echt de medewerker nodig hebben. Door jaarlijks de opleiding te doen, voorkom je dat jij degene bent waardoor een lek of incident ontstaat. Of beter nog: jij wordt degene die heeft voorkomen dat er een lek of incident is!” 

“Er vinden elke dag cyberaanvallen plaats en ze worden steeds geavanceerder”, vertelt Jochem verder. Pieters noemt Artificiële Intelligentie (AI) als voorbeeld: “AI wordt gebruikt om steeds verfijndere aanvallen uit te voeren. Zulke ontwikkelingen zorgen voor risico’s, maar je kunt ze ook inzetten om je te beschermen als organisatie. Het zijn ontwikkelingen waarmee we om moeten leren gaan. Want het is niet meer de vraag óf het misgaat, maar wanneer.” 

Rippe vult aan dat het daarom belangrijk is om de opleiding jaarlijks te volgen: “Dit soort bedreigingen gaan steeds sneller en er komen alleen maar meer bedreigingen bij. Op basis van dit soort ontwikkelingen passen we de opleiding aan om de kennis up-to-date te houden.” 

Jochem geeft aan dat het om deze redenen belangrijk is dat medewerkers de opleiding volgen: “We willen niet alleen organisaties weerbaarder maken, maar het gaat ook om de medewerkers. Wij zien hen als één van de pijlers waarop je als organisatie aan de digitale weerbaarheid bouwt: medewerkers zijn de sterkste schakel! Met de opleiding richten we ons op het maken van de juiste keuzes om ervoor te zorgen dat alle informatie en gegevens goed beschermd zijn en blijven.” “En het begint bij de manager”, zegt Pieters. Rippe: “De managers zien wij als doelgroep om als één van de eersten de opleiding te doen om een goed voorbeeld te geven aan de medewerkers.”

Hoe gaat de opleiding eruitzien?

Pieters: “Op dit moment zijn we bezig om de inhoud vorm te geven. Samen met een rijksbrede werkgroep hebben we leerdoelen opgesteld en materiaal verzameld. We werken ook samen met een externe partij om ervoor te zorgen dat de opleiding goed is opgebouwd.” Jochem: “De overheid kent een enorme schakering aan taken, rollen en mensen. Het ministerie van Defensie heeft behoefte aan andere onderwerpen dan het ministerie van Volksgezondheid, Welzijn en Sport. Rijksorganisaties hebben daarom voldoende ruimte voor maatwerk.” 

Rippe: “Om organisaties zo goed mogelijk te helpen, zijn wij bezig met een referentieset van vragen en antwoorden en een e-learning. Hiervoor benutten we zo veel mogelijk wat er al is. De Gedragsregeling voor de digitale werkomgeving vormt de basis. Organisaties kunnen de referentieset en e-learning gebruiken als uitgangspunt om te zorgen voor een passende opleiding. Ook kunnen organisaties zelf een e-learning maken en/of gebruikmaken van het Leer Management Systeem (LMS) van de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO).” 

Pieters: “Sommige organisaties hebben al een basisopleiding digitale weerbaarheid. Zij moeten daar vooral mee doorgaan en wanneer nodig, kunnen zij de opleiding aanvullen op basis van de referentieset of e-learning.”

Wat is de planning?

Rippe: “Begin dit jaar is het beleid vastgesteld en hierin staat dat organisaties binnen een jaar een basisopleiding digitale weerbaarheid moeten hebben. Op dit moment wordt de gedragsregeling geactualiseerd en op basis hiervan maken we de e-learning. Onze verwachting is dat deze klaar is in het 3e kwartaal. Het doel is dat eind 2025 80% van alle medewerkers de opleiding heeft gehaald.” Pieters geeft aan dat het streven iedere medewerker is, maar door in- en uitstroom en tijdelijke medewerkers is 80% realistisch. 

Pieters: “Natuurlijk willen we dat de opleiding zo snel mogelijk beschikbaar is, maar het moet ook goed en soepel werken. Het is belangrijk dat het toegankelijk is, zodat iedereen de opleiding kan volgen.”

Wat kunnen medewerkers nu doen om digitaal weerbaarder te worden?

Jochem: “Vertrouw je iets niet? Meld het, ook als je twijfelt. Want beter een melding te veel, dan te weinig.” Jochem vertelt dat hij situaties kent waarin medewerkers zich schamen, omdat ze iets hebben veroorzaakt en het daarom niet melden: “Het is belangrijk dat je het altijd deelt om gevolgen te voorkomen. Daarom de oproep aan jou: geef het door aan de servicedesk om zelf én als organisatie digitaal weerbaarder te worden!” 

Heb je een vraag over de basisopleiding digitale weerbaarheid? Stuur dan een mail naar CISORijk@minbzk.nl.

#cybersecurity #digitaalWeerbaar #digitaleWeerbaarheid #informatiebeveiliging #nieuwsbrief82024 #phishing #Privacy

𝐖𝐢𝐥 𝐣𝐢𝐣 𝐛𝐢𝐣𝐝𝐫𝐚𝐠𝐞𝐧 𝐚𝐚𝐧 𝐦𝐚𝐚𝐭𝐬𝐜𝐡𝐚𝐩𝐩𝐞𝐥𝐢𝐣𝐤 𝐯𝐞𝐫𝐭𝐫𝐨𝐮𝐰𝐞𝐧 𝐢𝐧 𝐝𝐞 𝐃𝐢𝐠𝐢𝐭𝐚𝐥𝐞 𝐈𝐧𝐟𝐫𝐚𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐮𝐫? 𝐃𝐞 𝐑𝐃𝐈 𝐳𝐨𝐞𝐤𝐭 𝐞𝐞𝐧 𝐒𝐞𝐧𝐢𝐨𝐫 𝐈𝐧𝐬𝐩𝐞𝐜𝐭𝐞𝐮𝐫 𝐞𝐧 𝐞𝐧𝐭𝐡𝐨𝐮𝐬𝐢𝐚𝐬𝐭𝐞 𝐈𝐓-𝐚𝐮𝐝𝐢𝐭𝐨𝐫 (𝐑𝐄) 𝐦𝐞𝐭 𝐞𝐫𝐯𝐚𝐫𝐢𝐧𝐠 𝐢𝐧 𝐚𝐮𝐝𝐢𝐭𝐢𝐧𝐠 𝐞𝐧 𝐢𝐧𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐞𝐛𝐞𝐯𝐞𝐢𝐥𝐢𝐠𝐢𝐧𝐠 💼 #𝐦𝐚𝐚𝐧𝐝𝐚𝐠𝐛𝐚𝐚𝐧𝐝𝐚𝐠

Op Europees niveau denk je mee over hoe wet- en regelgeving op het gebied van cybersecurity eruit zou kunnen zien 💡.

Klik om te solliciteren of voor meer informatie op de link https://www.werkenvoornederland.nl/vacatures/senior-inspecteur-en-it-auditor-re-digitale-weerbaarheid-AT-2023-0074#0

#WerkenbijRDI #WijzijnRDI #Senior #inspecteur #ITAuditor #DigitaleWeerbaarheid

Op donderdag 28 september van 13.00 - 14.00 uur, organiseert de NCTV een #webinar over de kernbevindingen uit het Cybersecuritybeeld Nederland 2023.

Zo wordt er gesproken over de risico's die voortkomen uit uit het feit dat alle organisaties onderdeel zijn van een breder digitaal ecosysteem. Ook wordt er aan de hand van fictieve scenario's besproken hoe het gesteld is met de #digitaleweerbaarheid.

Meld je aan ⤵️

https://broekhuizenwirtz.webinargeek.com/nctv-cybersecurity-beeld-nederland-2023