Aanleiding
Als overheidsorganisatie valt SSC-ICT onder de NIS2-richtlijn als essentiële organisatie. Binnen de verwachtingen is dat Nederland aankomend jaar deze als de Cyberbeveiligingswet (CBW) zal implementeren, waardoor SSC-ICT aantoonbaar moet maken hieraan te voldoen. Om zich hier op voor te bereiden heeft SSC-ICT een onafhankelijke nulmeting laten uitvoeren om haar ‘NIS2-Readyness’ te toetsen.

De verbeterpunten die hierin geïdentificeerd zijn, zal SSC-ICT moeten doorvoeren om afdoende gereed te zijn voor de NIS2. Om te zorgen dat dit tijdig gereed is, wilt SSC-ICT externe expertise gebruiken om dit proces te begeleiden en te ondersteunen. Dit memo dient er toe om de taken, die het externe team moet uitvoeren, duidelijk te specificeren.

Welke taken zal het project uitvoeren?
Het externe expertiseteam zal drie hoofdtaken moeten vervullen voor SSC-ICT:

- 1: Opzetten van een NIS2 rapportagestructuur
- 2: Procesbegeleiding van de NIS2 verbeteringen
- 3: Vervolgmeeting NIS2-Readyness

Hieronder zijn deze taken verder uitgewerkt. Bij het vervullen van deze taken wordt van het projectteam vakkundigheid, zelfsturing en professionaliteit verwacht. Hierbij gaat SSC-ICT uit van een projectteam van maximaal 3 FTE. Gelet op de prioriteiten van de organisatie schat SSC-ICT in dat de tijdsbesteding als volgt verdeeld moet worden: Taak 1 [35%] | Taak 2 [50%] | Taak 3 [15%].

In het uitvoeren van de taken is het essentieel om de rol van SSC-ICT binnen de Rijksoverheid in acht te nemen. Momenteel zijn zeven ministeries afhankelijk van de IT-dienstverlening van SSC-ICT, waardoor het onwenselijk is dat dit project de bedrijfsvoering moet onderbreken of anderzijds een te grote belasting hierop levert. Ook dient rekening gehouden te worden met de gevoeligheid van informatie, waardoor het mogelijk noodzakelijk is om één of meerdere projectleden te laten screenen.

Welke tijdsperiode staat voor dit project?
SSC-ICT gaat uit van een looptijd van 13 maanden, startend op 1 december 2024 en eindigend op 31 december 2025. Het is binnen de verwachting dat gedurende deze periode de CBW bekrachtigd zal worden. Van het projectteam wordt verwacht dat zij hiermee rekening houden in de planning. Het project zal ook na de inwerkingtreding doorlopen om ruimte te bieden voor verbeteringen met een langere doorlooptijd.

Opzetten van een NIS2 rapportagestructuur
Op basis van huidige inzichten zal het voor SSC-ICT noodzakelijk zijn om een robuuste NIS2 rapportagestructuur te hebben. SSC-ICT beheert honderden systemen en bedient hiermee zeven ministeries, welke allemaal ook onder de NIS2 vallen. Binnen de verwachtingen ligt het dat SSC-ICT in staat moet zijn om hen te voorzien van NIS2 rapportage van de door SSC-ICT beheerde systemen. In combinatie met NIS2 rapportages voor eigen aantoonbaarheid zal dit een grote opgave zijn, welke niet mogelijk is zonder een efficiënt en gestandaardiseerd NIS2 rapportagestructuur.

Van het projectteam wordt verwacht dat zij bepalen:

- Waarover SSC-ICT dient te rapporteren;
- Op welke wijze SSC-ICT dient te rapporteren (e.g. format);
- Of er standaardisatie aangebracht kan worden in de behoeftestelling;
- Of de rapportage met de capaciteit van SSC-ICT redelijkerwijs geautomatiseerd kan worden;
- Hoeveel niet-geautomatiseerde arbeidsuren er nodig zijn voor het aanleveren van de rapportage;

Ook dient het projectteam de rapportagestructuur op te zetten binnen de huidige organisatiestructuur. Hiervoor zal projectteam met een voorstel komen voor de opzet en deze ook daadwerkelijk opzetten. Deze rapportagestructuur moet veilig in gebruik zijn, uitgaande informatiestromen splitsen op basis van klant, voldoende toekomstbestendig zijn, laag in operationele arbeidsuren en duidelijk taken en verantwoordelijkheden specificeren.

Procesbegeleiding van de NIS2 verbeteringen
Op basis van een NIS2-Readyness nulmeting wordt bepaald hoe ver SSC-ICT is in het voldoen aan de NIS2 zorgplicht. SSC-ICT heeft behoefte aan begeleiding van de verbeterslag die hieruit vloeit. SSC-ICT vraagt een stuwende stimulerende rol om deze verbeterslagen te bereiken, maar ook het bieden van inhoudelijke inzichten wanneer kennis onvoldoende aanwezig is en het opstellen van templates wanneer nodig. Het uitgangspunt hierin blijft echter dat de beheerorganisaties de hoofdtaak hebben tot het uitvoeren van de verbeterslag.

Van het projectteam wordt in ieder geval verwacht dat zij:

- Identificeren van prioriteiten op basis van dynamische omstandigheden;
- Zorgen dat binnen de organisatie de verbeterslagen opgepakt worden;
- Begeleiden van verbeterslagen ten behoeve van het grotere strategische doel;
- Ondersteunen met eigen inzichten over de invulling van verbeteringen;
- Overzicht geven aan de CISO en het directieteam over de status van de lopende verbeteringen;

Hierin dient benoemd te worden dat de projectleden van dit externe team niet de taak hebben om op operationeel niveau de verbeterslagen te leiden. Hun focus dient te liggen op het tactisch en strategisch niveau.

In deze taak moet duidelijk in acht genomen worden dat SSC-ICT een sleutelpositie binnen de Rijksoverheid heeft. Indien een toezichthouder overgaat op een audit van een Rijksoverheid instantie zal SSC-ICT zich al snel in de supply-chain bevinden. Hierdoor is het noodzakelijk dat de belangrijkste verbeterslagen genomen zijn voor de inwerkingtreding van de CBW.

Vervolgmeting NIS2-Readyness
Voor de sturing van de organisatie is het noodzakelijk om te weten waar de organisatie staat in gereedheid voor de NIS2. Zoals vermeld voert SSC-ICT momenteel een nulmeting uit waardoor zij inzage hierin krijgt. In de loop van dit project zal het noodzakelijk zijn om het NIS2-Readyness beeld te actualiseren. Het projectteam zal een voorstel moeten aanbieden op welke wijze zij hier invulling aan willen geven. Als randvoorwaarde geldt dat dit aan moet sluiten op de al uitgevoerde nulmeting binnen SSC-ICT.



SSC-ICT
Om onze ministeries goed te blijven bedienen, willen we ons verder ontwikkelen. Dat doen we in interactie met onze klanten, de ministeries. Want wij zijn ICT-dienstverlener van en voor het Rijk, en zijn trots op onze publieke taak en de grootschalige projecten die ertoe doen.

Het ontstaan van SSC-ICT
Aan het begin van dit millennium verzorgden alle ministeries zelf – en onafhankelijk van elkaar – de ICT-werkplekken voor hun ambtenaren. Om voor deze dienstverlening één efficiënte en uniforme lijn te creëren hebben de verschillende ICT-organisaties hun werkzaamheden gebundeld. Door de jaren heen zijn er verschillende samenstellingen en benamingen geweest, maar sinds 2014 is SSC-ICT een feit.

Waar staan we nu?
SSC-ICT is uitgegroeid tot een organisatie van circa 1.200 medewerkers en draagt bij aan een eigentijdse rijksdienst met veilige, flexibele en slagvaardige ICT-diensten. Wij verlenen deze diensten aan de volgende ministeries:

- Binnenlandse Zaken en Koninkrijksrelaties
- Justitie en Veiligheid
- Buitenlandse Zaken
- Infrastructuur en Waterstaat
- Sociale Zaken en Werkgelegenheid
- Volksgezondheid, Welzijn en Sport
- Financiën
ICT moet er altijd zijn en is in toenemende mate cruciaal voor de primaire processen van deze ministeries. Onze rijkscollega’s werken op verschillende locaties en apparaten: via desktop en laptop, maar ook op tablet en smartphone. Snelheid en flexibiliteit worden steeds belangrijker. De ICT verzorgen voor én met het Rijk is een uitdagende taak. Het werkveld is divers en de veiligheidseisen zijn hoog.

Waar zijn we naar op weg?
SSC-ICT groeit naar één organisatie met één gezicht. We blijven werken aan een transparante werkwijze en optimale dienstverlening: standaard waar het kan, maatwerk waar het moet. De ministeries vertrouwen hierbij op onze veilige, betrouwbare ICT-diensten die altijd beschikbaar zijn.

Het doel: stabiele ICT-diensten leveren in een snel veranderende digitale wereld.

"Dit doen wij door samen te werken, te leren van elkaar, de beleving van gebruikers centraal te stellen, en vooral door plezier te hebben in ons werk!"

SSC-ICT

Chief Technology Office (CTO)
CTO heeft als hoofdtaak het zorgdragen voor de strategische richting en de vertaling van technische en ICT-kaders naar de operatie. Deze eenheid fungeert tevens als CIO-office.

Eisen

• Binnen het aangeboden team dient er ervaring aanwezig te zijn met minimaal 1 project binnen een grote complexe ICT organisatie waar eerder al een NIS2 (of vergelijkbare) compliance taak is uitgevoerd.

Wensen

• Plan van aanpak welke volledige, concreet, effectief, relevant moet zijn. De in de eerste fase van het NIS2 project opgestelde deelplannen van aanpak voor de Organisatie-eenheden moeten worden uitgevoerd door de Organisatie-eenheden zelf. Deze deelplannen bevatten overzichten van de NIS2 controls die op een Organisatie-eenheid van toepassing zijn en welke bewijslast nog moet worden opgesteld/opgeleverd. Plan van aanpak voor fase 2 moet duidelijk maken hoe de Organisatie Eenheden van SSC-ICT gaan worden geholpen om de plannen van aanpak ten uitvoer te brengen en welk specialisme/expertise daarvoor wordt ingezet. Dit met als doel te komen tot NIS2 compliance.
• In welke mate voldoen de cv's en is het een volledig inzetbaar team. Hierin willen we de volgende ervaring en kennis terug zien: - Operationeel risicomanagement, Compliancy, IT Risk - Ervaring met processen, opstellen en inrichten. - Ervaring met communicatie/training van de organisatie m.b.t. werken volgens nieuwe security normen. - HBO werk en denkniveau - Binnen het team moet kennis zijn van Informatiebeveiligingseisen, zoals bijvoorbeeld VIR, VIRBI, BIO, NIS, ISO2700x, ISAE3000x
• Aantoonbaar commitment op de continuïteit van het team/werkzaamheden/project.
• Sluit het team aan op de organisatie en begrijpt het de opdracht.