Wbni self-assessment digitale dienstverleners
Om vast te stellen of de Wbni voor uw organisatie van toepassing is, ontwikkelden wij de Wbni self-assessment tool voor digitale dienstverleners. Daarnaast krijgt u via het beantwoorden van een aantal vragen over uw informatiebeveiliging, een indicatie in hoeverre uw maatregelen aansluiten bij de doelstellingen van de Wbni zorgplicht.
Hoe is het self-assessment opgebouwd
Het self-assessment bestaat uit twee delen:
- Eerst wordt er op basis van vragen over uw bedrijf en uw dienstverlening bepaald of de Wbni voor uw organisatie van toepassing is en u daarmee onder het toezicht van de Rijksinspectie Digitale Infrastructuur (RDI) valt.
- In het tweede deel wordt een aantal vragen gesteld over de informatiebeveiligingsmaatregelen die u heeft genomen. Daarmee kunt u bepalen in hoeverre de door u genomen beveiligingsmaatregelen aansluiten bij de beveiligingsdoelstellingen van de Wbni zorgplicht.
Het deel over de Wbni zorgplicht bestaat uit negen onderdelen met in totaal 33 vragen. Hierin wordt u gevraagd welke technische en organisatorische maatregelen u heeft genomen om de risico’s voor de beveiliging van uw netwerk- en informatiesystemen te beheersen. Het normenkader waarop de vragen zijn gebaseerd is de ISO27001 standaard. Dit vormt ook de basis voor het toetsingskader dat de Rijksinspectie Digitale Infrastructuur hanteert bij inspecties. In de uitkomst van het assessment ziet u hoe uw score is voor elk van de negen onderdelen ten opzichte van de benchmark. De benchmark wordt bepaald door de gemiddelde score van alle respondenten. (De benchmark is momenteel op een vaste waarde van een 75% score ingesteld, deze wordt aangepast naar de gemiddelde score bij een voldoende aantal respondenten).
Het assessment is volstrekt anoniem: Bedrijven kunnen niet van elkaar zien wie wat heeft ingevuld en ook de Rijksinspectie Digitale Infrastructuur ziet alleen de geanonimiseerde resultaten.
Wat kunt u met de uitkomst van dit self-assessment
Via dit assessment krijgt u een indicatie in hoeverre de genomen beveiligingsmaatregelen aansluiten bij de beveiligingsdoelstellingen van de Wbni zorgplicht. De score laat zien hoe u relatief scoort t.o.v. andere digitale dienstverleners die het self-assessment eerder hebben gedaan. Het assessment moet niet worden gezien als een afvinklijstje: welke beveiligingsmaatregelen passend zijn is afhankelijk van het specifieke risicoprofiel van uw bedrijf of de sector waarin u actief bent. Ook kunt u ervoor gekozen hebben om bepaalde beveiligingsmaatregelen niet te implementeren, omdat er andere maatregelen zijn die de risico’s mitigeren (compensating controls).
In het online assessment wordt de werkwijze van organisaties en hun specifieke risicoprofiel niet meegenomen om verder te kijken naar de doelen achter de maatregelen, bij inspecties van de Rijksinspectie Digitale Infrastructuur wordt dit wel gedaan. Het assessment geeft dus slechts een indicatie in hoeverre uw maatregelen aansluiten bij de doelstellingen van de Wbni zorgplicht. Hierbij kunt u een vergelijking trekken met een ISO27001 certificering. De certificering geeft aan dat er wordt voldaan aan een achterliggend normenkader, maar geeft geen garantie dat uw beveiliging op orde is.