ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers
ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN OP SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
1 Inleiding De Informatiebeveiligingsdienst voor gemeenten is een activiteit die in opdracht van VNG door KING wordt uitgevoerd verder te noemen IBD of voluit Informatiebeveiligingsdienst voor gemeenten. De IBD ondersteunt gemeenten in hun doelstelling om hun informatiebeveiliging op een niveau te brengen dat past bij de bedrijfsvoering en de gevoeligheid van de gegevens die voor deze bedrijfsvoering noodzakelijk zijn. Gemeenten, de IBD en leveranciers delen de ambitie om de informatiebeveiliging van gemeenten op een door gemeenten gewenst niveau te brengen en houden. Alle partijen onderschrijven dat samenwerking tot een substantieel beter resultaat leidt bij het bereiken van de genoemde doelstelling. De IBD is een logisch koppelpunt om deze samenwerking te organiseren. Dit addendum is de uitwerking van de afspraken die de samenwerking vorm geven. Dit addendum wordt overeengekomen tussen Kwaliteitsinstituut Nederlandse Gemeenten, verder te noemen KING, en XXXXXXXXXX, verder te noemen Leverancier. KING en Leverancier worden gezamenlijk aangeduid als Partijen
2 Overwegingen 1.
Dit addendum maakt onderdeel uit van de samenwerkingsovereenkomst tussen KING, gebruikersverenigingen/samenwerkingsverbanden en leveranciers zoals overeengekomen tussen Partijen.
2.
VNG en KING hebben na raadpleging van gemeenten ter bevordering van de informatieveiligheid van gemeenten de IBD opgericht.
3.
De IBD levert adviezen, diensten en producten aan gemeenten ter bevordering van de informatieveiligheid van gemeenten.
4.
Doel van dit addendum is het vastleggen van afspraken tussen Leverancier en de IBD teneinde de informatieveiligheid van gemeenten te bevorderen.
5.
Gemeenten hebben in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als basisnormenkader voor het gemeentelijke domein vastgesteld en erkend.
6.
Gemeenten zijn verantwoordelijk voor hun eigen informatie en de toepassing van de BIG.
7.
Gemeenten zijn voor de implementatie van de BIG, en hun informatieveiligheid in het algemeen, ook afhankelijk van de producten en diensten die door leverancier geleverd worden
8.
Leverancier spant zich in om de geleverde producten en diensten te laten aansluiten op de inspanningen van gemeenten bij het implementeren van de BIG en het bevorderen van hun informatieveiligheid in het algemeen.
9.
Leverancier blijft onverminderd verantwoordelijk voor de veiligheid van de producten en diensten die zij aan gemeenten leveren binnen de kaders van de opdracht die gemeente en Leverancier met elkaar overeenkomen voor het leveren van de betreffende producten en diensten. Gemeenten zijn en blijven verantwoordelijk voor het gebruik van de producten en diensten.
2
ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN OP SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
10. Afspraken tussen Leverancier en de IBD worden gemaakt betreffende de Dienst Kwetsbaarheidswaarschuwingen (artikel 3 Dienst Kwetsbaarheidswaarschuwingen), de Detectiedienst (artikel 4 Detectiedienst), het afhandelen van incidenten (artikel 5 Incidenten) en de BIG (artikel 6 BIG). 11. Daar waar de bovenliggende samenwerkingsovereenkomst tussen partijen zich beperkt tot softwareontwikkeling zal de werking van dit addendum zich verbreden tot de volledige dienstverlening van leveranciers die gerelateerd is aan de betreffende product en/of dienst, dus inclusief maar niet beperkt tot platformdiensten, netwerkdiensten, Cloud-diensten, uitwijkdiensten en hardware-leveringen.
3 Dienst Kwetsbaarheidswaarschuwingen 1. IBD levert de Dienst Kwetsbaarheidswaarschuwingen aan gemeenten. Het doel van deze dienst is het voorkomen van incidenten. De dienst houdt in dat IBD informatie verzamelt over aankomende of acute ICT-gerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware, voor zover gemeenten aangeven deze ICT-componenten in gebruik te hebben. IBD deelt deze informatie zo snel mogelijk met aangesloten gemeenten die van deze dienst gebruik maken. 2. De IBD levert de Dienst Kwetsbaarheidswaarschuwingen zoals beschreven onder 3.1 om niet aan Leverancier. 3. IBD breidt de dienstverlening uit naar de ICT-componenten waarvan Leverancier aangeeft dat deze gebruikt worden voor het leveren van haar producten en diensten aan gemeenten. 4. Leverancier wijst een vertrouwde contactpersoon aan binnen haar organisatie met wie de IBD de bedoelde informatie kan delen. 5. Leverancier zal direct na ontvangst van informatie over een kwetsbaarheid een impactanalyse maken en passende maatregelen nemen om de informatieveiligheid van gemeenten te waarborgen. 6. Indien de informatieveiligheid van één of meerdere gemeenten in het geding is geweest, of nog in het geding is, wordt dit afgehandeld als een incident conform artikel 5. 7. Indien Leverancier kennis neemt van kwetsbaarheden zal Leverancier deze informatie proactief delen met IBD voor zover de kans dat de kwetsbaarheid tot een incident gaat leiden als hoog wordt geschat.
4 Detectiedienst 1. IBD levert de Detectiedienst aan gemeenten. Met de Detectiedienst wordt bedoeld dat de IBD regelmatig informatie over mogelijke bedreigingen van de informatieveiligheid (besmettingen) ontvangt die afkomstig zijn uit open en gesloten databronnen. Deze informatie kan bestaan uit IP-adressen of URL’s van systemen. Aan de hand van deze informatie kan worden vastgesteld of gemeenten betrokken zijn bij een besmetting. Als dit het geval is worden de betreffende gemeenten die gebruik maken van deze dienstverlening door de IBD hiervan op de hoogte gesteld. 2. IBD levert de Detectiedienst zoals beschreven onder 4.1 om niet aan Leverancier. 3. IBD breidt de dienstverlening uit met IP-adressen en URL’s waarvan Leverancier aangeeft deze in gebruik te hebben voor het ontwikkelen, testen en leveren van producten en diensten aan gemeenten.
3
ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN OP SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
4. Leverancier wijst een vertrouwde contactpersoon aan binnen haar organisatie met wie de IBD de bedoelde informatie kan delen. Dit is dezelfde contactpersoon als bedoeld onder 3.4 5. Leverancier zal direct na ontvangst van de informatie een impactanalyse maken en beoordelen of de informatieveiligheid van gemeenten mogelijk in het geding is geweest. 6. Indien de informatieveiligheid van één of meerdere gemeenten in het geding is geweest, of nog in het geding is, wordt dit afgehandeld als een incident conform artikel 5. 7. Indien Leverancier kennis neemt van netwerkverkeer waarbij de Informatieveiligheid van gemeenten mogelijk in het geding is zal Leverancier deze informatie proactief delen met IBD. Uitzondering hierop zijn kortdurende situaties die slechts één gemeente betreffen.
5 Incidenten 1. Een Incident is een gebeurtenis waarbij de informatieveiligheid van één of meerdere gemeenten in het geding is geweest, of nog in het geding is. In aanvulling op hetgeen bedoeld is in artikel 3 en artikel 4 vallen hieronder bijvoorbeeld ook Ddos aanvallen en virusbesmettingen. 2. Indien IBD kennis neemt van een Incident stelt IBD betrokken gemeenten en leveranciers hiervan zo snel mogelijk op de hoogte. 3. Indien Leverancier kennis neemt van een Incident stelt Leverancier betrokken gemeenten en IBD hiervan zo snel mogelijk op de hoogte 4. Leverancier zal direct na kennisneming van een Incident de impactanalyse maken en passende maatregelen nemen om de informatieveiligheid van gemeenten te waarborgen. 5. Leverancier koppelt de maatregelen zoals bedoeld onder 5.4 terug aan IBD. IBD zal gemeenten van wie bij haar bekend is dat deze relevante ICT-producten en/of diensten in gebruik heeft informeren over de maatregelen die Leverancier genomen heeft. IBD geeft geen waardeoordeel over de getroffen maatregelen.
6 BIG 1. IBD ontwikkelt, beheert en publiceert de BIG en zoekt hiervoor de afstemming met gemeenten in de Expertgroep Informatiebeveiliging. 2. IBD organiseert in aanvulling op de expertgroep voor gemeenten ook de dialoog met leveranciers in de vorm van een expertgroep die minimaal twee maal per jaar bijeenkomt. 3. Leverancier verkrijgt om niet een gebruiksrecht op de BIG voor toepassing binnen de gemeentemarkt en zal gemeenten geen kosten in rekening brengen voor het ter hand stellen van (delen van) de BIG. 4. Leverancier neemt actief deel aan de expertgroepen zoals bedoeld in 6.2. 5. Leverancier spant zich in om haar producten en diensten zodanig te leveren dat gemeenten niet belemmerd worden bij het toepassen van de BIG. 6. Leverancier baseert zich minimaal op de BIG bij het leveren van adviesdiensten aan gemeenten op het gebied van informatiebeveiliging.
4
ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN OP SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
7 Algemeen 1. IBD en Leverancier geven elkaar wederzijds toestemming om te communiceren over het bestaan van dit addendum. 2. IBD communiceert vertrouwelijk met gemeenten over onderwerpen die de informatieveiligheid mogelijk raken. In deze communicatie worden de IBD en gemeenten nimmer beperkt. Communicatie die betrekking heeft op Leverancier wordt vooraf overlegd met Leverancier 3. IBD communiceert vertrouwelijk met Leverancier over onderwerpen die de informatieveiligheid mogelijk raken. In deze communicatie worden de IBD en Leverancier nimmer beperkt. 4. Andere communicatie dan bedoeld onder 7.1, 7.2 en 7.3 in het kader van dit addendum vereist wederzijdse toestemming vooraf. 5. IBD en Leverancier betrachten strikte vertrouwelijkheid naar derde partijen anders dan gemeenten. 6. KING behoudt zich het recht voor om de IBD activiteit te staken. Minimaal drie maanden voorafgaand aan het staken van de IBD activiteit wordt Leverancier hiervan op de hoogte gesteld. 7. IBD en Leverancier zijn gerechtigd dit addendum eenzijdig op te zeggen met inachtneming van een opzegtermijn van één kalendermaand. 8. Dit addendum treedt in werking op datum ondertekening en eindigt van rechtswege bij beëindiging van de bovenliggende samenwerkingsovereenkomst. 9. De afspraken in dit addendum treden nimmer in de plaats van bestaande afspraken tussen partijen en gemeenten.
Ondertekening Datum: ………………….
Volledige organisatienaam:
Volledige organisatienaam: Kwaliteitsinstituut Nederlandse Gemeenten
Ondertekenaar:
Ondertekenaar:
…………………………………………
…………………………………………
Handtekening:
Handtekening:
……………………………………………
…………………………………………… 5
ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN OP SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG T 070 373 80 08 F 070 363 56 82
[email protected] WWW.KINGGEMEENTEN.NL
6
