De Baseline Informatiebeveiliging Overheid (BIO) is met onmiddellijke ingang herzien. Versie 2, genaamd BIO2, is ontwikkeld onder leiding van het ministerie van BZK in samenwerking met gemeenten, provincies, waterschappen en het Rijk. Het overlegorgaan Overheidsbreed Beleidsoverleg Digitale Overheid stelde onlangs de nieuwe modus vast. 

BIO2 geeft basisnormen voor informatiebeveiliging binnen alle overheidslagen. Volgens CertificeringsAdvies Nederland betreft het meer dan een update. ‘Het is een structurele modernisering van het informatiebeveiligingsbeleid van de overheid.’

De baseline draagt bij aan uniformiteit. Alle bestuurslagen werken volgens dezelfde beveiligingskaders. Bovendien speelt BIO2 beter in op actuele dreigingen zoals ransomware, ketenaanvallen en datalekken. Een ander voordeel is de verantwoordingsplicht. Die ondersteunt de naleving van wetgeving zoals de AVG, Wet beveiliging netwerk- en informatiesystemen en de Cyberbeveiligingswet.

Een van de belangrijkste wijzigingen is volgens de VNG het loslaten van de drie Basisbeveiligingsniveaus (BBN’s) uit de vorige BIO-versie. Versie 2 hanteert een explicietere risicogebaseerde aanpak. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s, zonder vast te zitten aan de drie beveiligingsniveaus. 

Verschillende overheidsmaatregelen zijn verzwaard, zodat ze voldoen aan de eisen die voortvloeien uit de NIS2-richtlijn. Verder wordt de BIO2 opgenomen in de verplichtingen die voortvloeien uit de Cyberbeveiligingswet (Cbw). Dit als onderdeel van de implementatie van de NIS2-richtlijn. 

Tenslotte komt er meer samenhang met andere normen. BIO2 sluit beter aan op ISO 27001 en andere internationale standaarden. De indeling van de controls/beheersmaatregelen en overheidsmaatregelen sluit aan bij vernieuwde indeling van de ISO 27002. 

Waar de beheersmaatregelen uit de ISO-standaard moeten worden toegepast op basis van het vastgestelde risico, zijn overheidsorganisaties minimaal verplicht om de overheidsmaatregelen uit de BIO2 toe te passen. Hiermee wil de overheid een basisniveau van informatiebeveiliging garanderen en samenwerking bevorderen.

Op basis van de risico’s moeten organisaties, naast de beheersmaatregelen uit de ISO-standaard en de overheidsmaatregelen uit de BIO, aanvullende maatregelen treffen om de veiligheid te borgen. Hierbij kunnen organisaties zelf passende standaarden selecteren. Denk bijvoorbeeld aan de Cybersecurity Implementatierichtlijn voor de beveiliging van objecten in de watersector. Tevens is deze versie breed inzetbaar voor andere overheden die gebruik maken van procesautomatisering.

Richtinggevend

Voor gemeenten geldt BIO2 voorlopig niet als wettelijke verplichting, Het is een richtinggevend kader; een beleidslijn die gemeenten helpt om hun beleid, processen of maatregelen vorm te geven, zonder dat het juridisch bindend is. 

BIO2 geeft duiding en sturing, maar laat ruimte voor eigen invulling. Het kader biedt handvatten voor risicomanagement, governance en technische maatregelen, maar gemeenten mogen zelf bepalen hoe ze dit toepassen binnen hun context. Formeel zijn gemeenten nog gebonden aan BIO 1.04 totdat de Cyberbeveiligingswet (Cbw) in werking treedt.

Deze versturen we 3-4x per jaar.