Adviseur Implementatie en Doorontwikkeling CSIRT dienstverlening (IBD)

Over VNG Realisatie De VNG representeert de ruim 300 Nederlandse gemeenten en werkt samen met haar afdelingen aan een krachtige lokale overheid. VNG Realisatie stelt daarbij de lokale uitvoering van de maatschappelijke opgaven door gemeenten centraal. Onder meer door actief te participeren in de netwerken van gemeenten en hun partners, door samenwerking te stimuleren via ‘samen organiseren’ en waar mogelijk standaarden te ontwikkelen die de dienstverlening van gemeenten verbeteren. VNG Realisatie draagt bij aan vier gemeentelijke speerpunten:

• Werken als één overheid, met leden en partners, aan het oplossen van maatschappelijke vraagstukken op sociaal, fysiek en veiligheidsdomein;
• Verbeteren van de dienstverlening;
• Een efficiënte en wendbare organisatie;
• Anticiperen op de toekomst.

1.2 Over de Informatiebeveiligingsdienst

De Informatiebeveiligingsdienst (IBD), onderdeel van de Vereniging van Nederlandse Gemeenten (VNG), ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. Als sectorale CERT/CSIRT vormt de IBD de verbindende schakel tussen gemeenten, het Nationaal Cyber Security Centrum (NCSC) en andere partijen binnen het Cyber Weerbaarheidsnetwerk. De IBD helpt gemeenten bij het beschermen van gegevens, het passend beveiligen van systemen en het beperken van schade bij incidenten. Daarbij stimuleert de IBD gezamenlijke standaarden en oplossingen, zodat gemeenten digitale en privacyrisico’s beter kunnen beheersen. De kernwaarden “Samen, Integer, Bekwaam en Dichtbij” staan hierbij centraal. De ondersteuning van de IBD richt zich op drie strategieën: 1. Inzicht bieden in bedreigingen, risico’s, trends en ontwikkelingen binnen de gemeentelijke context; 2. Bepalen wat gemeenten en leveranciers nodig hebben om passend beveiligd te zijn; 3. Een richtinggevende rol vervullen op het gebied van informatiebeveiliging en privacy binnen het gemeentelijke ICT-landschap.

1.3 Omschrijving van de opdracht

Het doel van deze opdracht is het opleveren van concreet toepasbare, uitvoerbare en toekomstgerichte resultaten waarmee de opdrachtgever de CSIRT-dienstverlening verder kan professionaliseren en voorbereiden op de eisen vanuit de Cyberbeveiligingswet (CBW). De opdracht moet inzicht bieden in zowel de huidige situatie als de benodigde ontwikkelingen om de dienstverlening duurzaam en schaalbaar in te richten. De opdracht richt zich daarbij op de volgende doelstellingen: 1. Aantoonbare naleving van de Cyberbeveiligingswet Het in kaart brengen en versterken van de huidige CSIRT-dienstverlening, zodat deze aantoonbaar voldoet aan de wettelijke vereisten en verwachtingen die voortvloeien uit de Cyberbeveiligingswet. Hierbij wordt gekeken naar processen, verantwoordelijkheden, werkwijzen en de aansluiting op relevante wet- en regelgeving. 2. Ontwikkelen van een toekomstbestendig groeipad Het opstellen van een strategisch en realistisch groeipad voor de verdere ontwikkeling van de CSIRT-dienstverlening. Dit groeipad moet richting geven aan de wijze waarop de dienstverlening zich kan ontwikkelen in lijn met toekomstige dreigingen, technologische ontwikkelingen en veranderende behoeften binnen het gemeentelijke domein. 3. Onderbouwde besluitvorming ondersteunen Het bieden van een inhoudelijke en organisatorische basis voor besluitvorming over:

• Mogelijke uitbreiding van de CSIRT-dienstverlening naar nieuwe of aanvullende doelgroepen die onder de Cyberbeveiligingswet vallen;
• De benodigde aanpassingen in processen, governance, samenwerking en capaciteit om deze uitbreiding effectief en beheersbaar te realiseren;
• De randvoorwaarden die nodig zijn om de kwaliteit, continuïteit en schaalbaarheid van de dienstverlening te waarborgen. Met deze opdracht wordt beoogd de opdrachtgever in staat te stellen om weloverwogen keuzes te maken over de toekomstige inrichting en positionering van de CSIRT-dienstverlening binnen het gemeentelijke cyberweerbaarheidslandschap.

1.4 Werkzaamheden en verantwoordelijkheden

De opdrachtgever verstrekt aan opdrachtnemer een zelfstandige, resultaatgerichte advies- en implementatieopdracht gericht op de doorontwikkeling van de CSIRT-dienstverlening van de IBD in relatie tot de vereisten van de Cyberbeveiligingswet (CBW). Doel van de opdracht is het toekomstbestendig versterken van de dienstverlening en het opleveren van concreet toepasbare adviezen, analyses en implementatiegerichte resultaten. De opdracht wordt uitgevoerd als onafhankelijke professionele dienstverlening en nadrukkelijk niet als functie binnen de organisatie van opdrachtgever. Van een gezagsverhouding is geen sprake. De opdrachtnemer is zelfstandig verantwoordelijk voor de uitvoering, aanpak, planning en kwaliteit van de werkzaamheden en resultaten. Daarbij geldt dat de opdrachtnemer:

• Zelfstandig de werkwijze, planning en methodiek bepaalt;
• Verantwoordelijk is voor de kwaliteit en bruikbaarheid van de opgeleverde resultaten;
• De werkzaamheden uitvoert zonder structurele organisatorische inbedding bij opdrachtgever;
• Geen reguliere lijn- of managementverantwoordelijkheden van opdrachtgever overneemt;
• Opereert vanuit een adviserende en ondersteunende rol gericht op analyse, implementatieondersteuning en strategische doorontwikkeling. De opdracht heeft een tijdelijk en afgebakend karakter en eindigt van rechtswege na oplevering en acceptatie van de overeengekomen resultaten.

1.5 Resultaat van de opdracht

De opdrachtnemer levert de volgende resultaten op in het kader van de doorontwikkeling van de CSIRT-dienstverlening van de IBD en de aansluiting op de vereisten uit de Cyberbeveiligingswet (CBW). Alle deliverables zijn afzonderlijk toetsbaar en gericht op concrete toepasbaarheid binnen de organisatie. Doorontwikkeling CSIRT-dienstverlening (CBW) Gapanalyse CSIRT en CBW Een schriftelijke analyse waarin de wettelijke taken en vereisten voor een CSIRT onder de CBW worden afgezet tegen de huidige CSIRT-dienstverlening van de IBD. De analyse maakt verschillen, tekortkomingen en ontwikkelpunten inzichtelijk en bevat verwijzingen naar relevante artikelen uit de CBW. Integrale aanpak Preventie, Detectie en Incidentcoördinatie Een uitgewerkte aanpak voor de verdere ontwikkeling van de CSIRT-dienstverlening, waarin de samenhang tussen preventie, detectie en incidentcoördinatie centraal staat. De aanpak beschrijft de scope, doelstellingen, ontwikkelstappen en verbetermaatregelen, met expliciete aansluiting op de vereisten uit de CBW. Groeipad CSIRT-dienstverlening Een gefaseerde uitwerking van de toekomstige ontwikkeling van de dienstverlening. Hierin worden per onderdeel de ontwikkelrichting, afhankelijkheden, randvoorwaarden en samenwerking met ketenpartners beschreven. Daarnaast bevat het groeipad duidelijke keuzes ten aanzien van prioritering en afbakening. Implementatie-uitwerking CSIRT-taken Een implementatiegerichte uitwerking waarin de adviezen worden vertaald naar concrete processen, rollen en werkzaamheden. Daarbij wordt expliciet beschreven welke taken wel en niet binnen de CSIRT-rol van de IBD vallen, inclusief aandacht voor taakverdeling, prioritering en samenhang. Advies uitbreiding doelgroepen CBW Implementatieplan uitbreiding doelgroepen Een onderbouwd implementatieplan voor mogelijke uitbreiding van de CSIRT-dienstverlening naar nieuwe doelgroepen onder de CBW. Het plan beschrijft relevante doelgroepen, de gevolgen voor de dienstverlening en de benodigde randvoorwaarden, keuzes en aandachtspunten voor implementatie. Impactanalyse doelgroepuitbreiding Een afzonderlijke analyse van de impact van doelgroepuitbreiding op capaciteit, benodigde expertise, processen, governance, verantwoordelijkheden en samenwerking binnen het gemeentelijke cyberweerbaarheidslandschap. Fasen en looptijd De opdracht heeft een maximale looptijd van 14 maanden, verdeeld in onderstaande resultaatfasen. De opdrachtnemer bepaalt zelf de exacte planning binnen deze fasen. Fase 1

• Analyse & kaderstelling (maand 1
• 2)

• Gapanalyse CSIRT – CBW
• Inventarisatie huidige dienstverlening Fase 2 – Ontwerp & richting (maand 3–4)
• Integrale aanpak preventie, detectie, incidentcoördinatie
• Concept groeipad
• Richting taakafbakening en prioritering Fase 3 – Uitwerking & concretisering (maand 5–7)
• Detailuitwerking groeipad
• Concrete uitwerking per domein
• Start advies uitbreiding doelgroepen Fase 4 – Implementatieplan (maand 8–9)
• Implementatieplan CSIRT-doorontwikkeling
• Implementatieplan uitbreiding doelgroepen Fase 5 – Implementatie-uitwerking (maand 10–12)
• Uitwerking procesaanpassingen
• Operationalisering prioritaire CSIRT-taken
• Samenwerking ketenpartners uitgewerkt Fase 6 – Evaluatie & borging (maand 12–14)
• Evaluatierapport
• Lessons learned
• Advies voor vervolgfase en borging in governance