Skip to main content

Wanneer gebruik je BBN2+?


De Baseline Informatiebeveiliging Overheid (BIO) kent drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Namelijk BBN1, BBN2, BBN3 en voor gemeenten BBN2+. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heeft. Daarvoor heeft de IBD de maatregelenset BBN2+ opgesteld. Maar wanneer gebruik je BBN2+?

De basisbeveiligingniveaus
Een Basis Beveiligings Niveau (BBN) is een verzameling van een minimale set van passende maatregelen om een bepaald belang te beschermen. Binnen de BIO kennen we drie (oorspronkelijke) BBN’s met bijbehorende beveiligingseisen, namelijk BBN1, BBN2, BBN3 en aanvullend voor gemeenten is er ook nog BBN2+.

  • BBN1 is het minimale niveau waar alle informatiesystemen aan moeten voldoen op basis van de geldende wet- en regelgeving en algemene beveiligingsprincipes.
  • BBN2 is het uitgangspunt voor alle informatiesystemen. Dit BBN is van toepassing op het moment dat er vertrouwelijke informatie wordt verwerkt, mogelijke incidenten kunnen leiden tot bestuurlijke commotie, er onzekerheid bestaat of ook alle informatie van derden open is en de veiligheid van andere systemen afhankelijk is van de veiligheid van het eigen systeem.
  • BBN3 richt zich op de bescherming van Departementaal Vertrouwelijk gecategoriseerde informatie, waarbij weerstand geboden moet worden tegen een statelijke dreiging/actoren. BBN3 wordt binnen gemeenten eigenlijk niet toegepast, of je moet als gemeente bijv. met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) samenwerken.
  • BBN2+ is in het leven geroepen omdat het voor gemeenten soms noodzakelijk is om aanvullende maatregelen te nemen boven BBN2. Het is dus een passende set van maatregelen bovenop BBN2.

Bovenstaande BBN’s zijn verder uitgewerkt langs de bekende lijnen van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Elke BBN bestaat uit een aantal controls, verplichte maatregelen en een verantwoordings- en toezichtsregime. Binnen de BIO kun je bij elke overheidsmaatregel zien of het hier gaat om BBN1 of 2. Binnen de formele BIO is (nog) geen sprake van een BBN2+ classificatie, je zult hier dus ook geen verplichte overheidsmaatregelen van vinden.

Hoe hoger het bedrijfsbelang, hoe hoger het BBN-niveau en hoe hoger de potentiële impact (en dus vaak meer maatregelen te implementeren). Elk niveau bouwt voort op het vorige niveau. Daarbij vult BBN2 de controls van BBN1 aan. Voor alle gemeenten geldt dat de meeste systemen binnen het primaire proces moeten voldoen aan BBN2. Aan de hand van dit niveau weet je als gemeente dus precies welke overheidsmaatregelen daarbij horen. De maatregelen van BBN1 zijn van toepassing voor alle gemeentelijke systemen.

Bepalen BBN
Om te bepalen op welk (basis)niveau het informatiesysteem zich bevindt, moet je de Baselinetoets BBN BIO uitvoeren. Met deze toets kan de proceseigenaar vaststellen welk BBN passend is voor zijn/haar informatiesysteem wat binnen de afdeling wordt gebruik. Uit de toets komt als resultaat een set aan beveiligingsmaatregelen die geïmplementeerd moeten worden. Let wel op dat de proceseigenaar hier verantwoordelijk voor is, dus niet een projectleider, CISO of functioneel beheerder. Met de baselinetoets BBN wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het behapbaar en efficiënt. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat uit de toets blijkt dat een systeem een hoger beschermingsniveau nodig heeft dan BBN2. BBN2 hoort namelijk bij de BIV-classificatie Beveiliging: midden, Vertrouwelijkheid: midden en Integriteit: midden. Maar wat als je op Vertrouwelijkheid hoger scoort? In dat geval moet je aanvullende maatregelen nemen om de informatie goed te kunnen beschermen.

Maatregelenset BBN2+

Als dit laatste het geval is dan moest je voorheen een diepgaande risicoanalyse uitvoeren. Maar omdat we als gemeenten veel hetzelfde doen, was het handiger om een gezamenlijke baseline te ontwikkelen die we bovenop de BBN2 kunnen gebruiken. Daarom is er vanuit de Informatiebeveiligingsdienst voor gemeenten (IBD) een normenset bedacht passend binnen de BIO. Deze set aan maatregelen is opgesteld in samenwerking met gemeenten en dient ter inspiratie waar je aan kunt denken als je extra maatregelen moet implementeren. De maatregelen die erin staan zijn dus niet verplicht en ook niet uitputtend. Je kunt als gemeente altijd zelf aanvullende maatregelen bedenken die passen bij de situatie. Er geldt namelijk een aanpak op basis van een eigen risico-inschatting. Ook is de set met maatregelen te gebruiken bij afspraken binnen ketens en met leveranciers. Kortom, met deze set kunnen gemeenten veel tijd én geld besparen.

Ondersteunende hulpmiddelen
Tot slot, alser uit de baselinetoets blijkt dat er meer beveiligingsmaatregelen nodig zijn, maar je de maatregelenset BBN2+ van de IBD niet voldoende vindt, kun je er zelfs voor kiezen om aanvullend het hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen van de IBD te gebruiken. De BBN’s zijn namelijk bedoeld als maatstaf voor de maximale schade en potentiele impact bij incidenten voor de gemeente zelf. Maar als er in een informatiesysteem persoonsgegevens worden verwerkt, kunnen diezelfde incidenten ook tot schade voor betrokkenen leiden. In dit product is daarom, naast het classificeren van de schade voor de gemeente, een concept-methode toegevoegd voor het classificeren van schade voor betrokkenen. Op basis van de uitkomst kan je kijken of er nog een aanvullende risicoanalyse nodig is.

Meer informatie?
Wil je meer weten over maatregelenset BBN2+, bekijk dan ook de webinar van de IBD hierover.

Heb je na het lezen van deze blog vragen of hulp nodig bij dit onderwerp? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…