Sterkere rol van CIO binnen de Rijksoverheid
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties heeft een kader vastgesteld rond een organisatie-inrichting van het CIO-stelsel binnen de Rijksdienst (Besluit CIO-stelsel Rijksdienst 2021). Dit meldt de Staatscourant. Het komt er op neer dat de rol van de CIO bij de overheid sterker wordt.
In een toelichting over dit besluit meldt de Staatscourant: "De rijksdienst is continu in ontwikkeling om veilig, snel en betrouwbaar diensten te kunnen aanbieden aan de samenleving. Zij doet dat niet alleen. Het is de maatschappij die de overheid de digitale kansen biedt en innovatie stimuleert. Digitale ontwikkelingen als “Internet of Things”, artificiële intelligentie en “Cloud Computing” zorgen voor veranderende behoeftes in de samenleving. Dergelijke digitale ontwikkelingen dagen de rijksdienst uit om zelf ook volgende stappen te zetten in het digitale domein en zo toegevoegde waarde te blijven creëren in een steeds sneller digitaliserende wereld. De Chief Information Officers (CIO’s) binnen de Rijksdienst vervullen hier een sleutelrol in. Als de digitale leiders in het CIO-stelsel werken zij niet alleen samen aan de oplossingen van vandaag, maar geven zij richting aan een digitale transitie voor de ontwikkelingen van morgen.
Het is het digitaal leiderschap van de CIO’s dat binnen een goed ingericht CIO-stelsel een zo maximaal mogelijke maatschappelijke opbrengst beoogt te creëren. Dit besluit vormt een basis om tijdig en succesvol de beleids- en bedrijfsvoeringdoelstellingen met behulp van ICT en informatiesystemen in de rijksdienst te kunnen realiseren. Hierbij moet ook altijd oog zijn voor de risico’s van digitalisering, waarmee een goede verhouding en samenwerking tussen de CIO’s en Chief Information Security Officers (CISO) een randvoorwaarde is voor succes. Deze beide functies, CIO en CISO, staan centraal in dit besluit.
CIO
In dit besluit is met het digitaal leiderschap bedoeld dat de CIO de digitale en technologische ontwikkelingen voortdurend volgt en daarop een strategische visie voorbereidt. Welke digitale keuzes maakt de organisatie en hoe worden ze geïmplementeerd? Dit besluit stelt de verantwoordelijk bewindspersoon daarmee in staat om ontwikkelingen als toenemende beveiligingsrisico’s en het toenemende dataverkeer tijdig en strategisch af te wegen en daarin te kiezen. De CIO stimuleert vervolgens hiervoor het (technologische) innovatieproces in het ministerie. Het tijdig anticiperen dat dit besluit beoogt, leidt dan meer tot stapsgewijze vernieuwing van informatiesystemen en minder tot nieuwe, grote ICT-projecten. Dat continue, stapsgewijze innovatieproces heet de digitale transformatie. Deze innovatie binnen een organisatie is gebaseerd op een digitale of technologische ontwikkeling en is daarmee een technologische gedreven innovatie. De rol van de CIO laat zich dan ook het beste samenvatten als de digitale leider die de informatievoorziening richting geeft bij het realiseren van dat deel van de maatschappelijke opgave waarbij digitalisering een oplossing zou kunnen zijn. Hij of zij is daarin de partner van de beleidskolom en het uitvoeringsveld van het ministerie.
CISO
Daarnaast helpt het dat alle CIO’s en Chief Information Security Officer’s (CISO’s) groeien naar een vergelijkbaar takenpakket en vergelijkbare bevoegdheden krijgen, ook al wordt rekening gehouden met de verschillen in de organisaties. Elke digitale leider is namelijk afhankelijk van de verantwoordelijke voor beleid of de eigenaar van een (informatie)proces. Met een vergelijkbare invloed voor alle CIO’s om strategisch keuzes in de organisatie te kunnen implementeren, ontstaat een digitaal verandervermogen van de rijksdienst als geheel. De vergelijkbaarheid van de CIO’s schept namelijk het vertrouwen dat samen voortdurend digitaal transformeren met alle organisaties in de rijksdienst mogelijk is.
De formalisering van het CIO-stelsel dat in dit besluit wordt nagestreefd dient nog een ander doel: het faciliteert het lerend vermogen binnen het stelsel. Samenwerking vormt de basis voor een cultuur van kennisdeling, anticiperen en reflecteren binnen het CIO-stelsel. Door vergelijkbare taken per functionaris en georganiseerde samenwerkingsverbanden ontstaat het vermogen om van elkaar te leren. Hoe ontwikkelt de crisisstructuur in het CIO-stelsel bij informatiebeveiligingsincidenten zich het beste? Hoe houdt digitalisering Nederland droog en hoe zorgt de juiste software dat de bevolking langer vitaal blijft en we steeds meer ziektes vroegtijdig kunnen behandelen? Het CIO-stelsel faciliteert het delen van kennis en ervaring met elkaar, onder andere in het CIO-beraad en de CISO-raad.
Aanleiding
De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft namens het kabinet in een brief van 20 december 2019 aan de Tweede Kamer der Staten-Generaal bericht dat er een Besluit CIO-stelsel Rijksdienst zal komen.Dit besluit is een invulling daarvan. In dit besluit zijn naast de taken en bevoegdheden van CIO binnen de rijksdienst ook die van de CIO Rijk, de CISO Rijk en de CISO’s binnen de rijksdienst vastgelegd. Voorts omvat dit besluit de positie van het CIO-beraad en zijn voorportalen, zoals de CISO-raad. Hiermee wordt de aanbeveling uit het onderliggende ADBTOPConsult-rapport opgevolgd om de rol van de departementale CIO verder te versterken en te verhelderen; zij het dan niet beperkt tot een taakbesluit gericht op de CIO-functie alleen, maar in dit besluit dat alle voornoemde rollen en hun onderlinge samenhang binnen het CIO-stelsel omvat.
Het CIO-stelsel binnen de rijksdienst bestaat sinds 2008. In dat jaar heeft het kabinet besloten een CIO bij elk ministerie in te stellen, omdat het bij kan dragen aan een betere positie van een minister in de besluitvorming over grote ICT-projecten. Binnen het CIO-stelsel is sindsdien het besluitvormingsproces over ICT en de digitale publieke dienstverlening binnen de rijksdienst ontwikkeld. De rijksbrede kaders die voor het stelsel zijn ontwikkeld, zijn veelal gericht op het object van sturing en verantwoording, zoals de informatiesystemen, de informatievoorziening en digitalisering in den brede, en in veel mindere mate op de functies binnen het stelsel zelf. Belangrijke ontwikkelingen, gericht op die functies, zijn: de opkomst van CIO’s in de uitvoering bij dienstonderdelen; de verschuivende rol van CIO’s van toetsend achterin de keten naar adviserend en digitaal leiderschap tonend aan de voorzijde en de creatie van de CISO-functie voor informatiebeveiliging. Dit besluit formaliseert deze ontwikkelingen, geeft richting en helderheid en versterkt daarmee het besturingsmodel en het besluitvormingsproces in het CIO-stelsel.
Uitgangspunten
De grootte van de rijksdienst met veel verschillende organisaties enerzijds en de veelheid aan digitale ontwikkelingen in de maatschappij anderzijds, maakt dat een hechte samenwerking tussen de CIO’s, CISO’s en andere betrokkenen bij het CIO-stelsel een belangrijk uitgangspunt is in dit besluit. Een goede interdepartementale samenwerking vergroot de wendbaarheid waarmee de rijksoverheid kan anticiperen op een digitale ontwikkeling en kan reageren op een digitale dreiging. Het CIO-beraad en ook de CISO-raad, als adviesraad voor het CIO-beraad, spelen bij deze interdepartementale samenwerking een belangrijke rol. De CIO Rijk en onderscheidenlijk de CISO Rijk zijn de voorzitters van deze raden en coördineren deze samenwerking. Naast een goede samenwerking binnen de rijksdienst is ook in toenemende mate een actieve samenwerking met kennisinstituten en het bedrijfsleven van belang. Deze samenwerking zorgt ervoor dat onder andere de CIO’s en de CISO’s in het CIO-stelsel kunnen anticiperen op die digitale ontwikkelingen of dreigingen.
Zoals in de brief van 20 december 2019 is benoemd, is een ander uitgangspunt dat elke minister verantwoordelijk blijft voor de informatievoorziening in het eigen ministerie. Dit geldt voor zowel de bedrijfsvoering als de digitalisering binnen de publieke taak van een ministerie - ook wel genoemd: het primaire proces. De effectiviteit van dit besluit is gebaat bij voldoende ruimte voor maatwerk en flexibiliteit, vanwege de veelheid aan organisaties en taakgebieden binnen de rijksdienst, maar ook de snelheid van digitale ontwikkelingen: de digitale transformatie. De noodzaak voor deze flexibiliteit is reeds in 2008, bij de start van het stelsel onderkend. De reden hiervoor was toen dat, door de strategische positionering van een CIO, elke minister in staat moest kunnen zijn om het informatiemanagement te organiseren dat aan alle professionele standaarden voldoet. Daarnaast biedt dit besluit instrumenten waarmee de functionarissen in het CIO-stelsel voldoende armslag en flexibiliteit krijgen om effectief te zijn. In dit besluit is hierbij een algemene uitzonderingsclausule opgenomen waarmee, op onderdelen, beargumenteerd en na overleg met de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kan worden afgeweken van dit besluit wanneer dit de effectiviteit van de met dit besluit beoogde doelen redelijkerwijs ten goede komt.
Tot slot is het lerend vermogen in het CIO-stelsel van de rijksdienst een belangrijk uitgangspunt. Het Adviescollege ICT-toetsing (Adviescollege) draagt als onafhankelijk adviescollege voor het CIO-stelsel bij aan dat lerend vermogen door het toetsen, adviseren en ook het delen van kennis. Om die reden sluit dit besluit goed aan bij het instellingsbesluit van het Adviescollege ICT-toetsing. Zo regelt dit besluit dat de CIO een eigen eerste oordeel over een groot ICT-project of -activiteit geeft voor aanvang, alvorens hij of zij bij het Adviescollege een verzoek indient voor advies.
Het CIO-stelsel Rijksdienst
De CIO is de centrale functie binnen het CIO-stelsel. De primaire rol van de CIO is om ervoor te zorgen dat het ministerie waar hij of zij werkzaam is tijdig kunnen inspelen op ontwikkelingen op het gebied van ICT en digitalisering. Hieruit vloeit de taak van de CIO voort om vanuit deze ontwikkelingen een vertaalslag te maken naar het zorgdragen voor de ontwikkeling en het beheer van de informatievoorziening en de informatiesystemen binnen het ministerie. Dit uit zich in taken van de CIO bij de ontwikkeling van het beleid, de uitvoering en ook de bedrijfsvoering in het ministerie, in afstemming met de verantwoordelijken voor het beleid of een taakveld, zoals een directeur-generaal. De CIO heeft daarbij de beschikking over een overzicht van informatiesystemen en ICT-projecten van het ministerie. Op basis daarvan is er een inzicht in de prioritering van ICT-activiteiten, het zogeheten portfolio. Op basis daarvan kan de CIO zijn of haar visie bepalen om op digitale ontwikkelingen in de samenleving in te spelen binnen zijn of haar ministerie. Het gaat in die visie onder meer over het onderhoud en beheer van bestaande informatiesystemen en ook hoe nieuwe ICT-projecten en -wijzigingen al in productie zijnde informatiesystemen en diensten vernieuwen, gebaseerd op een vorm van levenscyclusmanagement. Per organisatie binnen de rijksdienst verschilt het waar in de functie van de CIO de focus ligt. Soms ligt meer nadruk op het formuleren van beleid en advisering over de digitaliseringsaspecten. Bij andere CIO’s ligt meer nadruk op beheersing, zoals het geven van CIO-oordelen en de kwaliteitsborging. Tot slot is er de CIO waar meer de nadruk ligt op de ICT-uitvoering. Denk hierbij aan de rol van het hoofd van een i-regieonderdeel binnen het departement of als feitelijk opdrachtgever van grote ICT-trajecten. In het besluit is er ruimte voor deze diversiteit, omdat daarmee het besluit aansluit op de specifieke opgaven van een organisatie.
Als een van de taken van de CIO betrekking heeft op een digitale dreiging dan helpt de risicoanalyse van de CISO binnen het CIO-office om de departementale CIO zijn of haar taken te laten uitvoeren. De CIO moet kunnen adviseren en oordelen over alle aspecten van digitalisering en informatievoorziening, waaronder aspecten zoals informatiebeveiliging, privacy en de ontwikkeling en het beheer van informatiesystemen, in elk stadium van het uitvoeringsproces, de beleidsontwikkeling of het bedrijfsvoeringproces. Nieuwe projecten en wijzigingen in al in productie zijnde informatiesystemen met een grote ICT-component, kunnen in principe pas starten ná een positief CIO-oordeel.
Informatievoorziening en digitalisering kennen vele aspecten. Afhankelijk van de specifieke behoefte binnen een ministerie en het stelsel als geheel kunnen aan die aspecten verschillend gewicht worden gegeven. Aan de hand van die behoeften kan per aspect worden bepaald hoe er wordt gestuurd en hoe ervoor de ontwikkeling en het beheer van informatiesystemen wordt zorggedragen. In dit besluit is weloverwogen gekozen om het aspect informatiebeveiliging een centrale plek te geven en de taken en bevoegdheden van de CISO‘s en CISO Rijk hiervoor te expliciteren. Dit wil nadrukkelijk niet zeggen dat andere aspecten en functies minder relevant zijn, maar wel dat een heldere taakinvulling juist voor informatiebeveiliging op alle niveaus van essentieel belang is. Een heldere taakinvulling in het stelsel maakt namelijk inzichtelijk hoe er wordt gestuurd en zorggedragen voor de ontwikkeling en het beheer van de informatiesystemen.
De primaire functie van het CIO-beraad en de CISO-raad als voorportaal voor het CIO-beraad, is een sterke interdepartementale samenwerking tussen CIO’s, als het gaat om het anticiperen op digitale en procesmatige ontwikkelingen, respectievelijk de CISO’s, als het gaat om het reageren op digitale dreigingen. Het CIO-beraad heeft een meerjarige strategische visie op de ontwikkeling van de informatievoorziening in de rijksdienst; de meerjarige visie van de CISO-raad over informatiebeveiliging is hiervan een onderdeel. Beide visies beslaan beleidsontwikkeling, de uitvoering van beleid en de bedrijfsvoering. Indien nodig geven rijksbrede richtlijnen of kaders van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, vastgesteld na overleg met de ministers die het aangaat, aan hoe op deze digitale ontwikkelingen uit die meerjarige visie door de rijksdienst moet worden gereageerd.
Reikwijdte van dit besluit
Op basis van het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst (Coördinatiebesluit) heeft de Minister van Binnenlandse Zaken en Koninkrijksrelaties een aantal verantwoordelijkheden met betrekking tot informatiesystemen binnen de rijksdienst. De Minister van Binnenlandse Zaken en Koninkrijksrelaties kan, na overleg met de andere ministers, kaders vaststellen; gegevens over informatiesystemen bij andere ministeries opvragen en er moet met hem of haar op grond van artikel 3, onderdeel a, van het Coördinatiebesluit worden overlegd alvorens een minister een CIO aanstelt of ontslaat. Binnen de reikwijdte van het Coördinatiebesluit worden die verantwoordelijkheden in dit besluit verder uitgewerkt. De reikwijdte van het Coördinatiebesluit is dat bepalingen betrekking kunnen hebben op een ministerie of een organisatieonderdeel van een der ministeries. Zelfstandige bestuursorganen en Hoge Colleges van Staat maken geen onderdeel uit van de rijksdienst. Het besluit is daarom niet dwingend van toepassing op deze organisaties, maar kan voor hen wel richtinggevend zijn. Bij de hiervoor genoemde coördinerende verantwoordelijkheden van de Minister van Binnenlandse Zaken en Koninkrijksrelaties hoort een verantwoordingsplicht en informatievoorziening richting de Tweede Kamer.
Toepasselijkheid van dit besluit op departementale CIO-stelsels
De vorming van een departementale visie - ook wel: meerjarig informatieplan - en de implementatie van rijksbrede kaders en nieuw informatievoorzienings- en ICT-beleid in het ministerie is de verantwoordelijkheid van de departementale CIO. Daarvoor is hij of zij belast met het inrichten van een CIO-stelsel in het ministerie. Door middel van dit stelsel kan hij of zij informatie opvragen over de status van de implementatie van nieuw beleid of rijksbrede kaders en heeft hij of zij een portfolio van de informatiesystemen en -diensten, grote ICT-projecten en grote wijzigingen in al in productie zijnde informatiesystemen en diensten. Binnen een departementaal stelsel kan een CIO daarbij verschillende rollen hebben. Hij of zij heeft bijvoorbeeld de rol van opdrachtgever of eigenaar van een informatiesysteem of informatieproces. Ook kan hij of zij de rol van kwaliteitsborger hebben, juist onafhankelijk van een opdrachtgever of eigenaar. Samenhang en evenwicht tussen die rollen vormt een waarborg voor realistische ambities, betere besluiten over haalbaarheid en veiligheid en meer succesvolle uitkomsten van ICT-uitvoeringsactiviteiten. Voor het kunnen dragen van deze taken beschikt de CIO over een CIO-office, waarvan de departementale CISO een onderdeel is. De CIO heeft in zijn of haar office de beschikking over voldoende kennis en ervaring op de beleidsterreinen, ICT-architectuur en de bedrijfsvoering in het ministerie. Deze kennis en ervaring in het CIO-office is noodzakelijk, omdat door de digitale ontwikkelingen in de maatschappij steeds vaker en meer ICT wordt toegepast binnen de verschillende beleidsterreinen en de bedrijfsvoering. De kennis en ervaring stelt een CIO-office in staat digitaliseringsvraagstukken en -beleid integraal te benaderen en daarmee het juiste evenwicht te vinden tussen beleidsdoelen enerzijds en onder meer informatievoorzieningsaspecten als informatiebeveiliging, privacy, openbaarheid en duurzame toegankelijkheid anderzijds. Voorgaande taken verricht een CIO-office in afstemming met de verantwoordelijken voor de taakvelden of het beleid, zoals de desbetreffende directeur-generaal."
