Organisatie van verantwoordelijkheid voor informatiebeveiliging
Het Stelsel kent verschillende rolhouders die elke een eigen verantwoordelijkheid hebben voor de informatiebeveiliging van het Stelsel.
Eigenaarsrol
De Eigenaar van het Stelsel is politiek verantwoordelijk voor de veilige en betrouwbare werking van het Stelsel. De Eigenaar formuleert daartoe een interne controlestrategie voor het Stelsel en handelt daarnaar. De Eigenaar is 'Merkeigenaar' van het Stelsel en verantwoordelijk voor de merkbescherming. De houder van de rol Eigenaar van het Stelsel is de Minister van Binnenlandse Zaken.
Beheerdersrol
De Beheerorganisatie (BO) van het Stelsel voert zijn taken uit in opdracht van de Eigenaar. De Beheerorganisatie is verantwoordelijk voor de informatiebeveiliging van zijn eigen activiteiten en coördineert de informatiebeveiliging op het niveau van het Stelsel.
BSNk
BSNk heeft als rol een bijzondere positie in het Stelsel. Het ministerie van BZK is opdrachtgever van het BSNk. De Beheerder van het BSNk is geen deelnemer maar moet wel voldoen aan het Afsprakenstelsel, net als een Deelnemer of de Beheerorganisatie van het Stelsel. De Beheerder van het BSNk is daarmee ook verantwoordelijk voor de informatiebeveiliging van zijn eigen activiteiten. In dit document wordt waar beheerder van het BSNk is bedoeld gesproken over BSNk.
Deelnemersrol
De Deelnemer in het Stelsel is een private partij of publieke partij die is toegetreden tot het Stelsel. De Deelnemer is verantwoordelijk voor de informatiebeveiliging van zijn eigen stelselactiviteiten en infrastructuur. De Deelnemers zijn verantwoordelijk voor de naleving van de Stelselafspraken inzake informatiebeveiliging en tevens voor de controle op de naleving van de stelselvoorwaarden voor de afname van stelseldiensten door Gebruikers en Dienstverleners.
Dienstverlenersrol
De Dienstverlener (DV) in het Stelsel is een private partij of publieke partij die Stelseldiensten afneemt van de Deelnemer in het Stelsel. De Dienstverlener is zelf verantwoordelijk voor de informatiebeveiliging van de online dienst die met behulp van het Stelsel aanbiedt. De Dienstverlener is tevens verantwoordelijk voor de naleving van de voorwaarden voor afname van stelseldiensten.
Gebruikersrol
Gebruikers zijn individuele personen en bedrijven. Gebruikers nemen authenticatiediensten en diensten voor machtigingen af van Deelnemers in het stelsel. Gebruikers zijn verantwoordelijk voor de informatiebeveiliging van de eigen gebruikersomgeving.
Toezichthouderrol
Als Eigenaar van het publiek-private afsprakenstelsel voor elektronische toegangsdiensten, is de Minister van Binnenlandse Zaken tevens Toezichthouder. Om de rollen van Eigenaar en Toezichthouder zo veel als mogelijk te scheiden, geeft de Rijksinspectie Digitale Infrastructuur een onafhankelijk advies over de toetreding of uittreding van partijen tot het stelsel, het optreden tegen toegetreden partijen die zich niet houden aan het Afsprakenstelsel en het optreden bij incidenten die de betrouwbaarheid en veiligheid van het stelsel ernstig bedreigen of kunnen bedreigen.
De Toezichthouder houdt toezicht op de naleving van stelselafspraken door de Eigenaar, Beheerder, Deelnemers en BSNk.
Rijksinspectie Digitale Infrastructuur adviseert over te nemen stappen in het kader van toezicht. Hiermee krijgt de minister een onafhankelijk advies over toetredingen en te ondernemen acties in het kader van handhaving en optreden bij incidenten.
De rol van de Stelselgovernance
De ontwikkeling en het onderhoud van het Stelsel is door de Eigenaarsrol belegd bij de Stelselgovernance. De governance omvat het Strategisch Beraad, het Tactisch Beraad en het Operationeel Beraad, in deze raden zijn de Deelnemers en de Dienstverleners vertegenwoordigd, de Beheerorganisatie van het Stelsel vervult de secretarisrol. Besluiten over wijzigingen van Stelselafspraken worden binnen het mandaat van het Strategisch Beraad door het Tactisch Beraad genomen op advies van het Operationeel beraad. Het Tactisch Beraad vervult daarmee het dagelijks bestuur van het Stelsel en is onder meer verantwoordelijk voor de afweging van beveiligingsrisico's en maatregelen.