Verplichte maatregelen en richtlijnen - 5.19.01

[RoelBrandDeurne]

Beschrijf de bug 5.19.01 Bij offerteaanvragen waar informatie(voorziening) een rol speelt, worden inkoopeisen ten aanzien van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. Deze eisen zijn gebaseerd op een expliciete risicoafweging.¶ Bij inkoopsegmenten die op cyberproducten of -diensten betrekking hebben, wordt als uitgangspunt voor de risicoanalyse de maatregelset Inkoopeisen Cybersecurity Overheid gehanteerd.

Voorgestelde wijziging Weglaten van het verplicht gebruik van de ICO(-wizard). Laat het organisaties vrij om die te gebruiken maar dwing het niet af. Er zijn veel organisaties die geïnvesteerd hebben een een prima bouwblokken methodiek om snel, goed en volledig eisen te kunnen formuleren bij inkooptrajecten van informatiesystemen, op basis van een classificatie of risicoafweging.

Impact van de wijziging Beleidsvrijheid in de manier waarop de maatregel wordt ingevuld.

Aanvullende informatie NVT

[PSSkyu]

Eens met dit voorstel. Zeker omdat ICO nu nog uit gaat van BBN1/2 welke vervallen en waar in essentie niks voor terug gaat komen wat werkt voor alle rijksorganisaties. Want de risk appetite van deze organisaties zijn anders.

[jbeljonoss]

Het verordonneren aan opdrachtgevers van een beperkt aantal instrumenten maakt dat er voor opdrachtnemers een overzichtelijk en herkenbaar landschap met eisen en wensen ontstaat waar men zich op kan voorbereiden. Dit pleit voor bijv. de ICO-wizard of IRPA. Organisaties die geïnvesteerd hebben in een eigen instrument hebben last van de wet van de remmende voorsprong, en voor hen is nu overstappen een desinvestering. Er zal voor hen ruimte moeten zijn om enerzijds de specifieke pluspunten van hun instrument in bijv. de ICO te integreren en hun proces daarnaar te migreren. Dit vereist de toezegging vanuit ICO-beheer dat input vanuit die gebruikers verwerkt wordt. Valkuil is wel dat we, zeker met ICV-achtige zaken, meer richting afvinklijstjes gaan.