Verplichte maatregelen en richtlijnen - 8.21.03

[PSSkyu]

Beschrijf de bug Bij ontdekte nieuwe dreigingen vanuit 8.21.2 worden deze, rekening houdend met de geldende juridische kaders via het daarvoor aangestelde CSIRT gedeeld. Directe link: https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/maatregelen/#82103-bij-ontdekte-nieuwe-dreigingen-vanuit-8212-worden-deze-rekening-houdend-met-de-geldende-juridische-kaders-via-het-daarvoor-aangestelde-csirt

Voorgestelde wijziging Er mist nu het woordje "gedeeld". Maar eigenlijk is mijn voorstel om deze maatregel te schrappen. Want wederom zouden verwijzingen naar geldende juridische kaders/wettelijke kaders niet gevat moeten zijn in een maatregel. De cyberbeveiligingswet verankert al de meldplicht in Hfdst 9, Artikel 28. Uit de verdere uitwerkingen voor de sectoren zoals AMvB komen dan de specifieke vereisten. Dus op zichzelf zegt deze maatregel niks.

Impact van de wijziging Ontdubbeling / opschoning

Aanvullende informatie Een organisatie moet hierdoor wel alle wettelijke vereisten goed in beeld brengen en doorvertalen naar een ISMS en beleid. Dit is het compliance domein waar er ook ondersteuning vanuit juristen kan plaatsvinden.

[RoelBrandDeurne]

Dus eigenlijk doe je een principevoorstel voor álle maatregelen: schrijf niet iets op dat al verplicht wordt vanuit andere regelgeving.

[PSSkyu]

Het is niet mijn voorstel maar een gevolg van, want ik citeer het volgende uit de ontwerp pagina, via https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/ontwerp/#vervallen-verplichtingen Wet- en regelgeving als specifiek doel: Uit de evaluatie van de BIO blijkt voldoen aan wet- en regelgeving als zelfstandig doel voor onduidelijkheid zorgt bij de doelgroep. De BIO2 dekt niet, alle relevante wet- en regelgeving af voor overheden, daarvoor zijn de wetten en regelgeving voor de verschillende overheden te divers. Deze expliciete doelstelling komt daarom niet terug in de BIO2. Verwacht mag worden dat in lijn met risicomanagement een organisatie zelf haar context met de daarin van toepassing zijnde wet- en regelgeving analyseert. Wel wordt, waar relevant, een verwijzing opgenomen naar wet- en regelgeving als die geldt voor de gehele overheid, bijvoorbeeld bij Wdo artikel 3 of een verwijzing naar een standaard uit de Lijst open standaarden van Forum Standaardisatie.

[PSSkyu]

Ik zie nu dat het ook zo verwoord staat bij 8.16.01. 8.16.01 Bij ontdekte nieuwe dreigingen (aanvallen) via 8.16.1 worden deze binnen geldende juridische kaders verplicht gedeeld met het daarvoor aangestelde CSIRT.¶

[dvebzk]

Dank voor de verduidelijking. Ook wij waren dit intern aan het bespreken. We gaan onderzoeken hoe we de koppeling met de wet- en regelgeving inzichtelijk kunnen maken zonder deze in de normbeschrijving op te nemen, om dubbele verplichtingen te voorkomen. Het idee is om dit vorm te geven als bijlage of onder een kop 'Overige informatie' bij de maatregel.

[dvebzk]

Toevoeging feedback uit ander issue #118 ivm dubbeling.

Dit zou ik graag concreter gemaakt willen hebben. Als je de logs bekijkt dan komt er iedere seconde wel iets langs. Hoe definieer je hier "Nieuw ontdekt"?

Heb wel eens met de IBD gebeld over fake E-mails. Als het alleen bij mij gebeurt dan haal ik de schouder op. Als het tegelijk bij alle gemeenten gebeurt dan is er een patroon. We werken allemaal vanuit een niet-totaaloverzicht, en kunnen er dan de gevraagde betekenis niet aan geven