Referentienummer: 2024-08151
Omgeving: Den Haag
Startdatum: 16-12-2024
Einddatum: 31-12-2025
Gesprekken: Planning selectie gesprekken: in overleg met manager in de week van 3 december
Optie op verlenging: Ja - Max 6 maanden per verlenging
Aantal uur per week: 36
Sluitingsdatum: maandag 02 december om 07.30 uur

BlueTrail is op zoek naar een NIS2 Team met meerdere expertises voor 36 uur per week.

Als overheidsorganisatie valt SSC-ICT onder de NIS2-richtlijn als essentiële organisatie. Binnen de verwachtingen is dat Nederland aankomend jaar deze als de Cyberbeveiligingswet (CBW) zal implementeren, waardoor SSC-ICT aantoonbaar moet maken hieraan te voldoen. Om zich hier op voor te bereiden heeft SSC-ICT een onafhankelijke nulmeting laten uitvoeren om haar ‘NIS2-Readyness’ te toetsen.
De verbeterpunten die hierin geïdentificeerd zijn, zal SSC-ICT moeten doorvoeren om afdoende gereed te zijn voor de NIS2. Om te zorgen dat dit tijdig gereed is, wilt SSC-ICT externe expertise gebruiken om dit proces te begeleiden en te ondersteunen. Dit memo dient er toe om de taken, die het externe team moet uitvoeren, duidelijk te specificeren.

Welke taken zal het project uitvoeren?

Het externe expertiseteam zal drie hoofdtaken moeten vervullen voor SSC-ICT:

* Opzetten van een NIS2 rapportagestructuur
* Procesbegeleiding van de NIS2 verbeteringen
* Vervolgmeeting NIS2-Readyness

Hieronder zijn deze taken verder uitgewerkt. Bij het vervullen van deze taken wordt van het projectteam vakkundigheid, zelfsturing en professionaliteit verwacht. Hierbij gaat SSC-ICT uit van een projectteam van maximaal 3 FTE. Gelet op de prioriteiten van de organisatie schat SSC-ICT in dat de tijdsbesteding als volgt verdeeld moet worden: Taak 1 [35%] | Taak 2 [50%] | Taak 3 [15%].
In het uitvoeren van de taken is het essentieel om de rol van SSC-ICT binnen de Rijksoverheid in acht te nemen. Momenteel zijn zeven ministeries afhankelijk van de IT-dienstverlening van SSC-ICT, waardoor het onwenselijk is dat dit project de bedrijfsvoering moet onderbreken of anderzijds een te grote belasting hierop levert. Ook dient rekening gehouden te worden met de gevoeligheid van informatie, waardoor het mogelijk noodzakelijk is om één of meerdere projectleden te laten screenen.

SSC-ICT gaat uit van een looptijd van 13 maanden, startend op 1 december 2024 en eindigend op 31 december 2025. Het is binnen de verwachting dat gedurende deze periode de CBW bekrachtigd zal worden. Van het projectteam wordt verwacht dat zij hiermee rekening houden in de planning. Het project zal ook na de inwerkingtreding doorlopen om ruimte te bieden voor verbeteringen met een langere doorlooptijd.

Opzetten van een NIS2 rapportagestructuur

Op basis van huidige inzichten zal het voor SSC-ICT noodzakelijk zijn om een robuuste NIS2 rapportagestructuur te hebben. SSC-ICT beheert honderden systemen en bedient hiermee zeven ministeries, welke allemaal ook onder de NIS2 vallen. Binnen de verwachtingen ligt het dat SSC-ICT in staat moet zijn om hen te voorzien van NIS2 rapportage van de door SSC-ICT beheerde systemen. In combinatie met NIS2 rapportages voor eigen aantoonbaarheid zal dit een grote opgave zijn, welke niet mogelijk is zonder een efficiënt en gestandaardiseerd NIS2 rapportagestructuur.

Van het projectteam wordt verwacht dat zij bepalen:

* Waarover SSC-ICT dient te rapporteren;
* Op welke wijze SSC-ICT dient te rapporteren (e.g. format);
* Of er standaardisatie aangebracht kan worden in de behoeftestelling;
* Of de rapportage met de capaciteit van SSC-ICT redelijkerwijs geautomatiseerd kan worden;
* Hoeveel niet-geautomatiseerde arbeidsuren er nodig zijn voor het aanleveren van de rapportage;
* Ook dient het projectteam de rapportagestructuur op te zetten binnen de huidige organisatiestructuur. Hiervoor zal projectteam met een voorstel komen voor de opzet en deze ook daadwerkelijk opzetten. Deze rapportagestructuur moet veilig in gebruik zijn, uitgaande informatiestromen splitsen op basis van klant, voldoende toekomstbestendig zijn, laag in operationele arbeidsuren en duidelijk taken en verantwoordelijkheden specificeren.

Procesbegeleiding van de NIS2 verbeteringen

Op basis van een NIS2-Readyness nulmeting wordt bepaald hoe ver SSC-ICT is in het voldoen aan de NIS2 zorgplicht. SSC-ICT heeft behoefte aan begeleiding van de verbeterslag die hieruit vloeit. SSC-ICT vraagt een stuwende stimulerende rol om deze verbeterslagen te bereiken, maar ook het bieden van inhoudelijke inzichten wanneer kennis onvoldoende aanwezig is en het opstellen van templates wanneer nodig. Het uitgangspunt hierin blijft echter dat de beheerorganisaties de hoofdtaak hebben tot het uitvoeren van de verbeterslag.

Van het projectteam wordt in ieder geval verwacht dat zij:

* Identificeren van prioriteiten op basis van dynamische omstandigheden;
* Zorgen dat binnen de organisatie de verbeterslagen opgepakt worden;
* Begeleiden van verbeterslagen ten behoeve van het grotere strategische doel;
* Ondersteunen met eigen inzichten over de invulling van verbeteringen;
* Overzicht geven aan de CISO en het directieteam over de status van de lopende verbeteringen;
* Hierin dient benoemd te worden dat de projectleden van dit externe team niet de taak hebben om op operationeel niveau de verbeterslagen te leiden. Hun focus dient te liggen op het tactisch en strategisch niveau.

In deze taak moet duidelijk in acht genomen worden dat SSC-ICT een sleutelpositie binnen de Rijksoverheid heeft. Indien een toezichthouder overgaat op een audit van een Rijksoverheid instantie zal SSC-ICT zich al snel in de supply-chain bevinden. Hierdoor is het noodzakelijk dat de belangrijkste verbeterslagen genomen zijn voor de inwerkingtreding van de CBW.

Voor de sturing van de organisatie is het noodzakelijk om te weten waar de organisatie staat in gereedheid voor de NIS2. Zoals vermeld voert SSC-ICT momenteel een nulmeting uit waardoor zij inzage hierin krijgt. In de loop van dit project zal het noodzakelijk zijn om het NIS2-Readyness beeld te actualiseren. Het projectteam zal een voorstel moeten aanbieden op welke wijze zij hier invulling aan willen geven. Als randvoorwaarde geldt dat dit aan moet sluiten op de al uitgevoerde nulmeting binnen SSC-ICT.

Eisen bij de opdracht:

* Binnen het aangeboden team dient er ervaring aanwezig te zijn met minimaal project binnen een grote complexe ICT organisatie waar eerder al een NIS2 (of vergelijkbare) compliance taak is uitgevoerd.

Wensen bij de opdracht:

* Je maakt een plan van aanpak welke volledig, concreet, effectief en relevant moet zijn. De in de eerste fase van het NIS2 project opgestelde deelplannen van aanpak voor de Organisatie-eenheden moeten worden uitgevoerd door de Organisatie-eenheden zelf. Deze deelplannen bevatten overzichten van de NIS2 controls die op een Organisatie-eenheid van toepassing zijn en welke bewijslast nog moet worden opgesteld/opgeleverd. Plan van aanpak voor fase moet duidelijk maken hoe de Organisatie Eenheden van SSC-ICT gaan worden geholpen om de plannen van aanpak ten uitvoer te brengen en welk specialisme/expertise daarvoor wordt ingezet. Dit met als doel te komen tot NIS2 compliance.
* We vragen commitment op de continuïteit van het team/werkzaamheden/project.
* Je sluit het team aan op de organisatie en begrijpt het de opdracht.
* Je hebt kennis van operationeel risicomanagement, Compliancy, IT Risk.
* Je hebt ervaring met processen, opstellen en inrichten.
* Je hebt ervaring met communicatie/training van de organisatie m.b.t. werken volgens nieuwe security normen.
* Je hebt HBO werk en denkniveau.
* Binnen het team moet kennis zijn van Informatiebeveiligingseisen, zoals bijvoorbeeld VIR, VIRBI, BIO, NIS, ISO2700x, ISAE3000x.

Ben je enthousiast? Stuur dan je CV met een korte opdrachtgerichte motivatie.

Ons proces
Wij geloven in intensief persoonlijk contact en streven naar een nauwe samenwerking waarin wij met kennis van de opdrachtgever zorgen voor de beste match. Wij behandelen binnen 24 uur je reactie en nemen vervolgens contact op om dit samen te bespreken. Bij een match worden de eisen en wensen van de opdracht smart uitgeschreven en adviseren we over de inhoud van je CV. Wij staan voor een heldere en transparante communicatie en trachten jou als professional volledig te ontzorgen tijdens het volledige proces.

Follow the BlueTrail - Always on track to the perfect match


Trefwoorden: NIS2