LegalizeRegeling van de Minister van Justitie en Veiligheid van 13 februari 2024, kenmerk 4644372, inzake het strategisch kader informatiebeveiliging voor de meldkamervoorzieningen die door de hoofdgebruikers worden gebruikt bij de uitvoering van hun meldkamerfunctie en worden beheerd door de beheerder (Strategisch kader informatiebeveiliging meldkamervoorzieningen)
Gelet op artikel 23, eerste en tweede lid, van de Politiewet 2012;
Besluit:
Artikel 1. Begrippen
In dit strategisch kader wordt verstaan onder:
- a). meldkamervoorzieningen: alle gemeenschappelijke voorzieningen, waaronder ICT voorzieningen, die gebruikt worden door een of meer hoofdgebruikers bij de uitvoering van hun meldkamerfunctie én die door de beheerder worden beheerd;
- b). beheer: facilitaire dienstverlening, huisvesting, inrichting, onderhoud en ontwikkeling van gemeenschappelijke ICT-voorzieningen ten behoeve van de meldkamers en het ICT-beheer ten behoeve van de meldkamerfuncties;
- c). beheerder meldkamervoorzieningen: korpschef van de politie, bedoeld in artikel 1, aanhef en onder c, van de Politiewet 2012;
- d). Landelijke Meldkamer Samenwerking: het onderdeel van de politie waar het beheer van de meldkamers, bedoeld in artikel 25a van de Politiewet 2012, is ondergebracht;
- e). partijen: de Minister voor Medische Zorg en de Regionale Ambulancevoorzieningen voor zover het de ambulancezorg betreft, de besturen van de veiligheidsregio’s voor zover het de brandweertaak, de rampenbestrijding, de crisisbeheersing en de geneeskundige hulpverlening hierbij betreft, de Minister van Defensie voor zover het de Koninklijke marechaussee betreft, de Minister van Justitie en Veiligheid en de politie;
- f). hoofdgebruikers: de hulpdiensten politie, ambulance, brandweer en de Koninklijke Marechaussee. Defensie is in plaats van de Koninklijke Marechaussee een hoofdgebruiker voor zover het de C2000 communicatievoorziening betreft;
- g). medegebruiker: een andere gebruiker dan de hoofdgebruikers die uit oogpunt van openbare orde, veiligheid of hulpverlening in contact moeten kunnen treden met een of meer hoofdgebruikers ofwel anderszins voor een hoofdgebruiker aantoonbaar operationeel belang heeft om gebruik te maken van meldkamervoorzieningen;
- h). multidisciplinaire sturingslijn: de sturingslijn die wordt gevormd door het Bestuurlijk Meldkamer Beraad, bedoeld in artikel 3, eerste lid, van de Regeling hoofdlijnen beleid en beheer meldkamers, en het Strategisch Meldkamer Beraad, bedoeld in artikel 4, eerste lid, van die regeling;
- i). informatiebeveiligingsbeleid meldkamervoorzieningen: het geheel aan uitgangspunten, randvoorwaarden en regels ten aanzien van het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede ten aanzien van het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen, als het neerleggen van de taken en verantwoordelijkheden bij de verschillende organisaties horende bij het beheer en gebruik van de meldkamervoorzieningen;
- j). BIO: Baseline Informatiebeveiliging Overheid, bedoeld in de Circulaire toepassen Baseline Informatiebeveiliging Overheid in het digitale verkeer met het Rijk;
- k). ICV: in-controlverklaring, een beschrijving van de kwaliteit van de bedrijfsvoering van de betreffende organisatie met betrekking tot de verplichtingen die voortvloeien uit deze regeling en het informatiebeveiligingsbeleidsbeleid meldkamervoorzieningen.
Artikel 2. Algemeen kader
De informatiebeveiliging van de meldkamervoorzieningen wordt ingericht volgens ten minste de BIO.
Er dient door de hoofdgebruikers, in afstemming met de beheerder, een informatiebeveiligingsbeleid meldkamervoorzieningen te worden opgesteld. Het informatiebeveiligingsbeleid bevat in ieder geval:
- a. de nadere invulling van taken, verantwoordelijkheden en bevoegdheden van de hoofdgebruikers en de beheerder rondom het informatiebeveiligingsbeleid van de meldkamervoorzieningen;
- b. de gemeenschappelijke eisen, in het bijzonder de maatregelen die volgen uit het basisbeveiligingsniveau; en
- c. de gemeenschappelijke normen met betrekking tot het informatiebeveiligingsbeleid van de meldkamervoorzieningen.
De beheerder en de hoofdgebruikers stellen een implementatieplan op. In dit implementatieplan is inzichtelijk op welke wijze dit kader en het informatiebeveiligingsbeleid, of een wijziging van het strategisch kader of het informatiebeveiligingsbeleid, binnen de eigen organisatie wordt geïmplementeerd en toegepast.
De beheerder en de hoofdgebruikers rapporteren periodiek over de voortgang van de uitvoering van de implementatieplannen aan de multidisciplinaire sturingslijn via de PDCA-cyclus van het beleids- en bestedingsplan meldkamers.
Artikel 3. Bestuurlijk Meldkamer Beraad en Strategisch Meldkamer Beraad
Wijziging van het informatiebeveiligingsbeleid van de meldkamervoorzieningen vindt plaats na overleg met het Strategisch Meldkamer Beraad, bedoeld in artikel 4, eerste lid, van de Regeling hoofdlijnen beleid en beheer meldkamers, en wordt vastgesteld door het Bestuurlijk Meldkamer Beraad, bedoeld in artikel 3, eerste lid, van die regeling.
Er is een beleids- en bestedingsplan, bedoeld in artikel 6, eerste en tweede lid, van de Regeling hoofdlijnen beleid en beheer meldkamers. Het informatiebeveiligingsbeleid van de meldkamervoorzieningen is onderdeel van het beleids- en bestedingsplan.
Het Strategisch Meldkamer Beraad monitort het beleids- en bestedingsplan meldkamers en het hierin opgenomen informatiebeveiligingsbeleid van de meldkamervoorzieningen en adviseert het Bestuurlijk Meldkamer Beraad hierover.
De partijen dragen jaarlijks hun wensen met betrekking tot de informatiebeveiliging van de meldkamervoorzieningen voor het beleids- en bestedingsplan aan.
In het Strategisch Meldkamer Beraad worden jaarlijks de ICV’s van de beheerder en hoofdgebruikers besproken. In het Bestuurlijk Meldkamer Beraad vindt hierover, horende het advies van het Strategisch Meldkamer Beraad, besluitvorming plaats.
Het Bestuurlijk Meldkamer Beraad kan, horende het advies van het Strategisch Meldkamer Beraad, onderzoek laten uitvoeren naar de werking van het informatiebeveiligingsbeleid meldkamervoorzieningen en aanwijzingen geven voor verbetering.
Voor het realiseren van de taken, zoals genoemd in dit artikel, kan het Strategisch Meldkamer Beraad een hulpstructuur instellen.
Artikel 4. Beheerder meldkamervoorzieningen
De beheerder is verantwoordelijk voor het implementeren en naleven van het informatiebeveiligingsbeleid meldkamervoorzieningen door de eigen organisatie.
De beheerder richt een risicomanagementproces in voor de gemeenschappelijke meldkamervoorzieningen, conform de normen van de BIO, en in het bijzonder het bepaalde basis beveiligingsniveau. De beheerder betrekt en consulteert de hoofdgebruikers bij dit risicomanagementproces en de bijbehorende risicoanalyses.
De beheerder bereidt de besluitvorming in de multidisciplinaire sturingslijn voor ten aanzien van de vaststelling en wijziging van het informatiebeveiligingsbeleid meldkamervoorzieningen. Dit doet de beheerder in samenwerking met de hoofdgebruikers. De beheerder neemt in elk geval het initiatief het informatiebeveiligingsbeleid bij te stellen of te wijzigen:
- a. als de jaaraanschrijving daartoe aanleiding geeft; en
- b. als de door hem op te stellen risicoanalyse over zijn beheerstaken daartoe aanleiding geeft.
De beheerder monitort de naleving van het informatiebeveiligingsbeleid meldkamervoorzieningen door de eigen organisatie.
De beheerder stelt jaarlijks een ICV op ten aanzien van het beheer van de meldkamervoorzieningen.
Artikel 5. Hoofdgebruikers en medegebruikers meldkamervoorziening
Elke hoofdgebruiker is zelf verantwoordelijk voor het implementeren en naleven van het voor zijn organisatie van toepassing zijnde informatiebeveiligingsbeleid meldkamervoorzieningen binnen de eigen organisatie.
Elke hoofdgebruiker richt een risicomanagementproces in voor de door hem gebruikte meldkamervoorzieningen, conform de normen van de BIO, en in het bijzonder het bepaalde basis beveiligingsniveau.
De hoofdgebruiker monitort de naleving van het informatiebeveiligingsbeleid meldkamervoorzieningen door de eigen organisatie.
Elke hoofdgebruiker is zelf verantwoordelijk voor het implementeren en naleven van het informatiebeveiligingsbeleid meldkamervoorzieningen door medegebruikers die onder zijn verantwoordelijkheid vallen.
Elke hoofdgebruiker is verplicht jaarlijks een ICV af te geven voor bespreking in het Strategisch Meldkamer Beraad. In de ICV van de hoofdgebruiker worden ook de medegebruikers die onder de verantwoordelijkheid van de hoofdgebruiker vallen meegenomen.
Artikel 6. Evaluatie
De Minister van Justitie en Veiligheid zal minstens eens in de vijf jaar de doeltreffendheid en de effecten van het strategisch kader evalueren door middel van audits.
Artikel 7. Inwerkingtreding
Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst.
Artikel 8. Citeertitel
Deze regeling wordt aangehaald als: Strategisch kader informatiebeveiliging meldkamervoorzieningen.
Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.