LegalizeBesluit van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 14 december 2025, nr. 2025-0000042677 tot wijziging van het Besluit CIO-stelsel Rijksdienst 2021 (Besluit CIO-stelsel Rijksdienst 2026)
Handelend in overeenstemming met het gevoelen van de ministerraad;
Gelet op de artikelen 2, eerste lid, 3, eerste lid, en 6, eerste en tweede lid, van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst;
§ 1. Algemeen
Artikel 1. Definities
In dit besluit wordt verstaan onder:
- a. beveiligingsautoriteit: beveiligingsautoriteit; bedoeld in artikel 3 van het Besluit BVA-stelsel Rijksdienst 2021;
- b. beveiligingsautoriteit Rijk: beveiligingsautoriteit Rijk; bedoeld in artikel 7 van het Besluit BVA-stelsel Rijksdienst 2021;
- c. CIO: Chief Information Officer bedoeld in artikel 3, eerste lid en artikel 16, eerste lid;
- d. CIO Rijk: Chief Information Officer Rijk bedoeld in artikel 17, eerste lid;
- e. CISO: Chief Information Security Officer bedoeld in artikel 6, eerste lid en artikel 16, vierde lid;
- f. CISO Rijk: Chief Information Security Officer Rijk bedoeld in artikel 17, eerste lid;
- g. (C)DO: (Chief) Data Officer bedoeld in artikel 9, eerste lid en artikel 10, eerste lid;
- h. (C)PO: (Chief) Privacy Officer bedoeld in artikel 9, eerste lid en artikel 12, eerste lid;
- i. (C)TO: (Chief) Technology Officer bedoeld in artikel 9, eerste lid en artikel 14, eerste lid;
- j. Coördinatiebesluit: Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst;
- k. digitalisering: geheel aan ontwikkelingen binnen de overheid en in de samenleving die te maken hebben met het toenemend gebruik van ICT, digitale informatie, data en informatiesystemen;
- l. grote ICT-component: ICT-component vallend onder de definitie die in het Handboek portfoliomanagement Rijk wordt gegeven aan grote ICT-component;
- m. ICT: Informatie- en communicatietechnologie;
- n. informatiebeveiliging: proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen;
- o. informatiesysteem: samenhangend geheel van gegevensverzamelingen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie;
- p. informatievoorziening: geheel van mensen, middelen, informatiesystemen en maatregelen, gericht op de informatiebehoefte van een organisatie;
- q. portfoliomanagement: proces van inventarisatie, registratie en actualisatie van wijzigingen in informatiesystemen, vastgelegd in een portfolio.
Artikel 2. Reikwijdte
Dit besluit geldt voor de rijksdienst, zijnde de kerndepartementen en de daaronder ressorterende dienstonderdelen inclusief de gevestigde diensten op Caribisch Nederland.
Bij de Rijksdienst Caribisch Nederland (RCN) is een CIO Rijksdienst Caribisch Nederland (CIO RCN) aangesteld, die rechtstreeks ressorteert onder de CIO Binnenlandse Zaken en Koninkrijksrelaties. De CIO RCN heeft dezelfde taken en verantwoordelijkheden als de departementale CIO bedoeld in artikel 3.
§ 2. CIO en CISO
Artikel 3. CIO-functie
De minister die belast is met de leiding van een ministerie draagt zorg voor de aanstelling van een departementale CIO die rechtstreeks ressorteert onder de secretaris-generaal van het ministerie.
De departementale CIO is belast met de ontwikkeling en coördinatie van het informatievoorzienings- en digitaliseringsbeleid en het zorgdragen voor de ontwikkeling en het beheer van de informatiesystemen van het ministerie conform dit beleid.
De departementale CIO is tevens belast met het inrichten van het CIO-stelsel voor het ministerie en de onder haar ressorterende dienstonderdelen.
De departementale CIO is lid van de bestuursraad van het ministerie.
Een CIO beschikt over een CIO-office.
Het CIO-office wordt zodanig ingericht dat over voldoende kennis en ervaring wordt beschikt om de taak, bedoeld in artikel 4 uit te voeren.
Artikel 4. Taken departementale CIO
De minister die belast is met de leiding van een ministerie draagt aan de departementale CIO met betrekking tot het ministerie in elk geval de volgende taken op:
- a. het adviseren van het lijnmanagement en de minister over het beleid ten aanzien van informatievoorziening en digitalisering;
- b. het adviseren van het lijnmanagement en de minister over de implicaties voor informatievoorziening en digitalisering van (voorgenomen) wet- en regelgeving, beleids- en uitvoeringstrajecten en investeringen;
- c. het opstellen, beheren en zorgdragen voor de uitvoering van een meerjarig informatieplan voor het ministerie met een financiële paragraaf;
- d. het richten op en stimuleren van digitale transformatie en technologisch gedreven innovatie binnen het ministerie door het investeren in een cultuur van kennisdeling en door het lerend vermogen op het gebied van digitalisering binnen het ministerie te bevorderen;
- e. het met inachtneming van toepasselijke rijksbrede kaders en ICT-voorzieningen zorgdragen voor de ontwikkeling en coördinatie van informatievoorzieningsbeleid en digitaliseringsbeleid en de ontwikkeling en het beheer van de informatiesystemen van het ministerie;
- f. het toezien op naleving van de kaders gesteld op grond van de artikelen 2 en 6 van het Coördinatiebesluit en het gevraagd en ongevraagd informeren en adviseren van het verantwoordelijk lijnmanagement en de CIO Rijk hierover;
- g. het ontwikkelen en coördineren van integraal portfoliomanagement en levenscyclusmanagement om de samenhang tussen ICT-(door)ontwikkeling en ICT-beheer van het kerndepartement en dienstonderdelen te bewaken;
- h. het gevraagd en ongevraagd adviseren en informeren van de CIO Rijk voor zover dit redelijkerwijs noodzakelijk is voor diens taakuitoefening, bedoeld in artikel 18;
- i. het zorgdragen voor voldoende aandacht binnen het ministerie voor continue beheeractiviteit en verbetering van de ICT-infrastructuur inclusief de benodigde technologische vernieuwing en informatiebeveiliging;
- j. het voeren van een solide informatiehuishouding waarbinnen de informatie duurzaam toegankelijk, vindbaar, juist, volledig en betrouwbaar bewaard wordt;
- k. het uitvoeren van oordelen aangaande de beheersing, haalbaarheid, risico’s en implicaties van alle voorgenomen en in uitvoering zijnde activiteiten met een grote ICT-component, conform de daarvoor geldende rijksbrede kwaliteitsnormen;
- l. het aanmelden van activiteiten bij het Adviescollege ICT-toetsing, als bedoeld in artikel 7, eerste lid, onderdeel a, onder 2° van de Wet Adviescollege ICT-toetsing;
- m. het uitvoeren van de taken met betrekking tot het (IV)beleidsterrein voor de eigen diensten die vallen onder het eigen ministerie;
- n. het realiseren van interoperabiliteit tussen ministeries op tenminste uitwisselfunctionaliteiten en aansluiting op rijksbrede generieke voorzieningen en dienstverlening.
Artikel 5. Bevoegdheden departementale CIO
De departementale CIO kan, na overleg met de secretaris-generaal, de minister rechtstreeks informeren, indien zijn taakuitoefening op grond van dit besluit daartoe aanleiding geeft.
De departementale CIO kan een CIO-oordeel of een externe kwaliteitstoets uitvoeren binnen alle fasen van projecten, programma’s of activiteiten met een digitaliseringsaspect of ICT-component.
Voor het aanvangen van ICT-ontwikkelprojecten en onderhoudsactiviteiten met een grote ICT-component, die onder verantwoordelijkheid van het ministerie worden uitgevoerd, is een positief CIO-oordeel, of een beargumenteerde afwijking hiervan door de secretaris-generaal van het ministerie, vereist.
De dienstonderdelen van het ministerie verstrekken de departementale CIO de informatie die noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.
Artikel 6. Departementale CISO
De minister die belast is met de leiding van een ministerie draagt zorg voor de aanstelling van een departementale CISO die rechtstreeks ressorteert onder de CIO van het ministerie.
De departementale CISO is belast met de ontwikkeling en coördinatie van het departementale informatiebeveiligingsbeleid, bedoeld in artikel 3 van het Besluit Voorschrift Informatiebeveiliging Rijksdienst 2007 en artikel 3 van het Besluit Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie 2025 en het ondersteunen van het verantwoordelijk lijnmanagement bij de implementatie en naleving hiervan.
Artikel 7. Taken departementale CISO
De minister die belast is met de leiding van een ministerie draagt aan de departementale CISO ten aanzien van digitalisering en informatievoorziening, met betrekking tot het ministerie, de taak op tot:
- a. het ontwikkelen en coördineren van departementaal informatiebeveiligingsbeleid en -kaders en het ondersteunen van de implementatie en naleving hiervan;
- b. het zorgdragen voor het departementale informatiebeveiligingsbeleid als onderdeel van het departementale digitaliserings- en informatievoorzieningsbeleid, bedoeld in artikel 4, onder e;
- c. het ontwikkelen en actueel houden van een departementaal risicobeeld met betrekking tot informatiebeveiliging;
- d. het bijdragen aan het opstellen en beheren van het meerjarig informatieplan voor het ministerie, bedoeld in artikel 4, onder c, met betrekking tot de departementale informatiebeveiliging;
- e. het bijdragen aan het opstellen van het rijksbrede informatiebeveiligingsbeleid, het risicobeeld en het calamiteitenplan, bedoeld in artikel 20, onder a, c en j, en de rijksbrede strategie, bedoeld in artikel 18, onder a, en aan het integrale beveiligingsbeleid, de risicoanalyse en het calamiteitenplan, bedoeld in artikel 4, eerste, derde en zesde lid, van het Besluit BVA-stelsel Rijksdienst 2021, met betrekking tot de departementale informatiebeveiliging;
- f. het gevraagd en ongevraagd adviseren van de departementale CIO, het verantwoordelijk lijnmanagement en CISO’s van dienstonderdelen over de informatiebeveiliging en de risico’s daarvoor van (voorgenomen) wet- en regelgeving, investeringen, beleids- en uitvoeringstrajecten, informatieprocessen en informatiesystemen;
- g. het gevraagd en ongevraagd adviseren en informeren van de CISO Rijk voor zover dit redelijkerwijs noodzakelijk is voor diens taakuitoefening, bedoeld in artikel 20, en van de departementale beveiligingsautoriteit ten behoeve van diens taakuitoefening op grond van het bepaalde in het Besluit BVA-stelsel Rijksdienst 2021;
- h. het monitoren en controleren van het informatiebeveiligingsbewustzijn binnen het ministerie, het adviseren van het kerndepartement en dienstonderdelen hierover en het zorgdragen voor het vergroten van het bewustzijn over informatiebeveiliging binnen het ministerie;
- i. het onderhouden van relaties met de inlichtingen- en veiligheidsdiensten, het Nationaal Cyber Security Centrum en de Nationale Coördinator Terrorismebestrijding en Veiligheid aangaande dreigingen die verband houden met de informatiebeveiliging van het departement;
- j. het ontwikkelen en coördineren van informatiebeveiligingsactiviteiten, -projecten en het zorgdragen voor een projectportfolio voor informatiebeveiliging;
- k. het bijdragen aan CIO-oordelen en kwaliteitstoetsen als bedoeld in artikel 5, tweede lid, met betrekking tot informatiebeveiliging;
- l. het binnen het ministerie coördineren van onderzoeken van de Auditdienst Rijk, Algemene Rekenkamer, Adviescollege ICT-toetsing en eventueel Autoriteit Persoonsgegevens naar het niveau van de naleving van het betreffende beleidsgebied;
- m. het monitoren en signaleren van afwijkingen van artikel 41, eerste lid, van de Kaderwet zelfstandige bestuursorganen en het informeren hierover van de secretaris-generaal als eigenaar van een zelfstandig bestuursorgaan.
Artikel 8. Bevoegdheden departementale CISO
De departementale CISO kan de secretaris-generaal en het verantwoordelijk lijnmanagement van het ministerie rechtstreeks informeren, indien zijn taakuitoefening op grond van dit besluit en de ernst van het geconstateerde feit daartoe een acute aanleiding geeft. Indien vooroverleg met de CIO en de beveiligingsautoriteit niet mogelijk is, worden beiden zo spoedig mogelijk achteraf geïnformeerd.
De dienstonderdelen van het ministerie verstrekken de departementale CISO gevraagd en ongevraagd de informatie die noodzakelijk is voor de uitoefening van zijn taken.
De departementale CISO kan namens de secretaris-generaal en de departementale CIO aanwijzingen geven met betrekking tot informatieprocessen in het geval van een, mogelijke, ernstige en acute inbreuk op de beveiliging van informatiesystemen. De CISO laat onverwijld maatregelen treffen om zo veel mogelijk de beveiliging te laten herstellen en verdere schade te laten beperken.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.