Voorgestelde wijziging
Een overheid bepaalt de reikwijdte van het managementsysteem door middel van risicomanagement en een grondige analyse van alle relevante risico's voor de overheidsorganisatie
Impact van de wijziging
Voor primaire processen en primaire (informatie)systemen geldt dat als er geen definitie van wordt gesteld dit erg open is voor interpretatie. Of buiten scope plaatsing. En daarnaast als je dit wel gaat afdwingen met een definitie vanuit de BIO stap je weer weg van een organisatie gebonden risicomanagement.
Vanuit de NIS2 Zorgplicht gedachte zouden alle processen en systemen welke benodigd zijn voor de continuïteit van de overheidsorganisatie zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen onderdeel moeten zijn.
Beschrijf de bug https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/inleiding/#reikwijdte-managementsysteem En de tekst: Een overheid moet minimaal de primaire (informatie)systemen opnemen in de reikwijdte van het managementsysteem. Het is aan de overheidsorganisaties zelf om te bepalen in welke mate de ondersteunende processen zijn opgenomen in het managementsysteem.
Voorgestelde wijziging Een overheid bepaalt de reikwijdte van het managementsysteem door middel van risicomanagement en een grondige analyse van alle relevante risico's voor de overheidsorganisatie
Impact van de wijziging Voor primaire processen en primaire (informatie)systemen geldt dat als er geen definitie van wordt gesteld dit erg open is voor interpretatie. Of buiten scope plaatsing. En daarnaast als je dit wel gaat afdwingen met een definitie vanuit de BIO stap je weer weg van een organisatie gebonden risicomanagement. Vanuit de NIS2 Zorgplicht gedachte zouden alle processen en systemen welke benodigd zijn voor de continuïteit van de overheidsorganisatie zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen onderdeel moeten zijn.
Aanvullende informatie Primaire (informatie)systemen != Primaire processen != Risicomanagement