Waar moet je als semi-overheid-inkoper op letten bij ICT-inkopen

Waar moet je als semi-overheid-inkoper op letten bij ICT-inkopen

Published
  1. Baseline Informatiebeveiliging Overheid (BIO / BIO2)
    • Gebruik de BIO als basis voor beveiligingseisen bij ICT-inkoop. PIANOo legt uit hoe je met inkoopvoorwaarden leveranciers kunt toetsen op BIO-eisen. PIANOo – Expertisecentrum Aanbesteden+1
    • Let op de BIO2, de herziening van de BIO: deze is moderner, sluit beter aan op actuele dreigingen (zoals ketenrisico’s) en bevat expliciete risicogebaseerde aanpak. aboutict
    • Voor semi-overheid kan het belangrijk zijn dat de contracten informatiebeveiligingsmaatregelen bevatten die passen bij de BIO2-risicoafwegingen. Zoals inkoopadvies over welke van de BIO-voorschriften “van toepassing moeten zijn bij aanbesteding” zegt Joost Lucassen: “Bij nieuwe informatiesystemen moet een expliciete risicoafweging worden uitgevoerd … Voorafgaand aan het afsluiten van de overeenkomst geeft de leverancier inzicht in de keten van toeleveranciers …” inkooppub.nl
  2. ICO-eisen (Inkoopeisen Cybersecurity Overheid)
    • De ICO-Wizard van PIANOo / CIP is een zeer bruikbaar hulpmiddel om specifieke inkoopbeveiligingseisen te selecteren op basis van risico’s, type dienst of product, clouddiensten, toegangsbeveiliging, etc. PIANOo – Expertisecentrum Aanbesteden+1
    • In je aanbestedingen kun je eisen opnemen dat leveranciers periodiek audits of penetratietesten laten uitvoeren en verantwoording afleggen (bijv. ISO 27001 / ISAE-verklaringen) om te controleren op naleving van beveiligingsmaatregelen. PIANOo – Expertisecentrum Aanbesteden
    • Zorg dat leveranciers keten-informatie geven: welke sub-leveranciers gebruiken ze, hoe worden die beveiligd, en wat gebeurt er als kwetsbaarheden worden ontdekt of gemeld.
  3. NIS2-regelgeving (Cyberbeveiligingswet)
    • Semi-overheidsinstellingen vallen mogelijk onder NIS2 (afhankelijk van hun rol / “essentiële dienst”), wat extra zorgplicht, meldplicht én toezicht kan betekenen. VNG+2VNG+2
    • Inkoop moet hierop anticiperen: in je Programma van Eisen (PvE) kun je cybersecurity- en incident­meldingsmechanismen afdwingen, zodat leveranciers voorbereid zijn op deze verplichtingen.
    • Maak een risicobeoordeling van je leveranciersportefeuille en analyseer in hoeverre toeleveranciers van ICT-diensten jouw keten kunnen beïnvloeden (risico’s op beschikbaarheid, beveiliging, compliance).
  4. Samenhang in overheidsbreed beleid
    • Volgens het Kamerstuk Inkoopbeleid van de Overheid moet de overheid “digitale veilige ICT-producten en -diensten” inkopen. Officiële Bekendmakingen
    • Semi-overheden kunnen baat hebben bij aansluiting op gemeenschappelijke overheidsinitiatieven: gezamenlijke inkoop van beveiligingscertificering, gezamenlijke aanbestedingen of het delen van best practices.
    • Let op de “werkagenda Waardengedreven Digitaliseren” waarin overheden expliciet aangeven dat ze 100% van ICT-inkopen veilig willen inrichten volgens inkoopeisen cybersecurity. Open Overheid
  5. Ketenrisico & leveranciers-afhankelijkheid
    • Vraag in aanbestedingen specifiek naar de ketenstructuur van ICT-leveranciers: welke toeleveranciers (subcontractors) zijn er, hoe is de beveiliging geregeld bij hen?
    • Neem contractclausules op voor wijzigingsmeldingen: leveranciers moeten wijzigingen in hun keten (bijv. nieuwe sub-leveranciers) melden, zodat je de risico’s kunt herbeoordelen (dit past ook bij de BIO2-aanpak).
    • Voorzie in exit-scenario’s in je contracten: wat gebeurt er met data, welke fallback-opties zijn er als een leverancier wegvalt of niet meer voldoet aan beveiligingseisen.
  6. Verantwoording & audit
    • Zet gedurende de levensduur van het contract in op monitoring: audits, penetratietesten, rapportageverplichtingen, verificatie van certificaten (ISO, etc.).
    • Zorg dat je als inkoper samenwerkt met je security-afdeling (of informatiemanager) om de naleving te beoordelen en te escaleren bij afwijkingen of risico’s.
    • Leg in je interne processen vast wie verantwoordelijk is voor beveiligings-compliance bij ingekochte ICT: inkoop, risicomanagement, security — en maak heldere afspraken over verantwoordelijkheden.
  7. Strategische inkoop & governance
    • Overweeg strategische inkoop: ICT-inkoop is niet alleen tactisch (prijs, levering), maar ook strategisch (continuïteit, veiligheid, reputatie).
    • Stel een governance-structuur in binnen je organisatie (semi-overheid) waarbij inkoop, IT en security gezamenlijk beoordelen wat je vraagt van leveranciers.
    • Stimuleer leveranciers om veilige producten te leveren: gebruik beveiligingscriteria in gunningscriteria (niet alleen “laagste prijs”).
  8. Wet- en regelgeving in de toekomst
    • Blijf op de hoogte van relevante EU- of nationale regelgeving: niet alleen NIS2, maar ook andere cyberregels zoals de Cyber Resilience Act (CRA) kunnen van invloed zijn op ICT-inkoop.
    • Houd ontwikkelingen rond de BIO2, Cyberbeveiligingswet, en andere veiligheidsnormen in de gaten zodat je inkoopprocessen tijdig aangepast zijn.

Praktische bronnen & links

  • Informatiebeveiligingseisen – PIANOo: uitleg en handleiding voor ICO-eisen. PIANOo – Expertisecentrum Aanbesteden
  • ICO-Factsheet: concrete eisen per productcategorie. Bio-Overheid
  • BIO2 ingevoerd voor alle overheden: uitleg op AboutICT. aboutict
  • Actieplan Cybersecuritystrategie NL (2022–2028): beschrijft overheidsbrede doelen m.b.t. veilige ICT-inkoop. ncsc.nl
Tagged