De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Het gebruik van 1 normenkader voor de gehele overheid biedt een aantal voordelen:
- Het versterken van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door voorspelbare uniforme beveiligingsnormen bij de overheid;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
De laatste versie van de BIO is te vinden op bio-overheid.nl.
Belangrijke wijzigingen in de BIO2
De BIO2 weerspiegelt de internationale beveiligingsnormen (NEN-EN-ISO/IEC 27001:2023 (nl) en NEN-EN-ISO/IEC 27002:2022 (nl)) en vervangt de indeling in 3 Basisbeveiligingsniveaus (BBN’s) uit de vorige BIO versies, door een explicietere risicogerichte benadering. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s, zonder vast te zitten aan de 3 beveiligingsniveaus.
Daarnaast hebben de overheidsmaatregelen een update gehad en waar mogelijk zijn maatregelen verlicht. Door de verplichte doorwerking op de BIO2 van de NIS2-richtlijn (via de Nederlandse Cyberbeveiligingswet) zijn ook een aantal overheidsmaatregelen verzwaard.
De BIO2 en de ISO standaard
De BIO2 is gebaseerd op de NEN-EN-ISO/IEC 27001:2023 (nl) en NEN-EN-ISO/IEC 27002:2022 (nl).
- NEN-EN-ISO/IEC 27001:2023 (nl) moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en op het vaststellen van het toepassingsgebied (de reikwijdte) van dit managementsysteem.
- NEN-EN-ISO/IEC 27002:2022 (nl) moet risico gedreven worden toegepast op het formuleren van passende beheersmaatregelen.
Waar de beheersmaatregelen uit de ISO-standaard moeten worden toegepast op basis van het vastgestelde risico, zijn overheidsorganisaties minimaal verplicht om de overheidsmaatregelen uit de BIO2 toe te passen. Hiermee wil de overheid een basisniveau van informatiebeveiliging garanderen en samenwerking bevorderen.
Op basis van de risico’s moeten organisaties, naast de beheersmaatregelen uit de ISO-standaard en de overheidsmaatregelen uit de BIO, aanvullende maatregelen treffen om de veiligheid te borgen. Hierbij kunnen organisaties zelf passende standaarden selecteren. Denk bijvoorbeeld aan de Cybersecurity Implementatierichtlijn (CSIR) voor de beveiliging van Operationele Technologie (OT) of de NEN7510 voor zorginformatie.
De Cyberbeveiligingswet en de verplichte zelfregulering
Vanaf het Overheidsbreed Beleidsoverleg Digitale Overheid van 23 september 2025 tot de inwerkingtreding van de Cyberbeveiligingswet (Cbw) hanteren provincies, waterschappen en het Rijk de BIO2 als verplichtende zelfregulering. De BIO1 v1.04zv komt daarmee voor hen te vervallen.
Gemeenten blijven in deze periode de BIO1 v1.04zv als verplichtende zelfregulering gebruiken, maar passen de BIO2 daarnaast al toe als richtinggevend kader. In samenwerkingen maken de betrokken partijen afspraken over de toepassing van de BIO2. De keuze van de (hoofd)opdrachtgever bepaalt hierbij welke versie leidend is.
BIO2 versie 1.3 gepubliceerd
BIO2 als wettelijke zorgplicht
In lijn met de Nationale Cybersecurity Strategie (NLCS) wordt de BIO2 als zorgplicht opgenomen in de ministeriële regeling voor de sector Overheid onder de Cbw, als onderdeel van de implementatie van de NIS2-richtlijn. Met de ingang van de Cbw is het toepassen van de overheidsmaatregelen uit de BIO2 voor de beveiliging van netwerk- en informatiesystemen wettelijk verplicht.
In de ministeriële regeling onder de Cbw wordt verwezen naar de publicatie van de BIO2 versie 1.3 in de Staatscourant.
Verplichtende zelfregulering na invoering Cbw
De BIO2 blijft ook na de inwerkingtreding van de Cbw gelden als verplichtende zelfregulering voor organisaties die niet onder deze wet vallen. Het gaat onder meer om de Hoge Colleges van Staat, het ministerie van Defensie, de AIVD en de politie. Zij blijven aan de BIO2 gebonden via een besluit van de ministerraad, vastgelegd in de Staatscourant.
Hetzelfde geldt voor ZBO’s die van de Cbw-verplichting zijn uitgezonderd. Ook gemeenschappelijke regelingen die buiten de Cbw vallen, blijven via hun opdrachtgever gebonden aan de BIO2. Daarmee geldt de BIO2 feitelijk voor alle overheidsorganisaties.
Verplichtende zelfregulering blijft van kracht voor de toepassing van de BIO2 op onderdelen van informatiebeveiliging die niet onder de Cbw vallen, zoals de beveiliging van informatie op papier. Dit geldt ook voor drie overheidsmaatregelen die buiten de scope van de Cbw vallen; deze zijn in de BIO2 gemarkeerd.
Onderhoud en beheer van de BIO2
De interbestuurlijke werkgroep-BIO draagt zorg voor het onderhoud op de BIO. Onder het voorzitterschap van het ministerie van BZK zijn daarin de verschillende overheidslagen vertegenwoordigd:
- CIO Rijk
- Vereniging Nederlandse Gemeenten (VNG)
- Interprovinciaal Overleg (IPO)
- Unie van Waterschappen (UvW)
Verder bestaat de werkgroep uit:
- een aantal grote uitvoeringsorganisaties
- Forum Standaardisatie
- het Nationaal Cybersecurity Centrum (NCSC)
- het Centrum voor Informatiebeveiliging & Privacybescherming (CIP)
Besluitvorming over de BIO vindt plaats in het Kern-IBO, waarin onder voorzitterschap van het ministerie van BZK vertegenwoordigers van de 4 overheidslagen zitting hebben.
Omdat de BIO een overheidsbreed product is, is het de bedoeling bij alle gebruikersgroepen ervaringen op te halen. Gebruikers van de BIO kunnen doorlopend feedback geven via GitHub. De werkgroep-BIO behandelt deze feedback om tot een volgende versie te komen.
Het streven is eind 2027 een volgende versie van de BIO2 uit te brengen. Om tot die versie te komen, start het CIP in 2026 een evaluatie met alle overheidslagen.
Samen aan de slag
Om organisaties te helpen met de implementatie van de BIO2 heeft het CIP verschillende ondersteunende documenten opgesteld, zoals een het BIO Self-Assessment, veelgestelde vragen en een ‘was-wordt-lijst’ met daarin de verschillen tussen de BIO2 en vorige versies.
Daarnaast organiseert het CIP op verzoek van het ministerie van BZK een implementatiebegeleidingscampagne met evenementen en handreikingen. Dit helpt organisaties hun informatiebeveiliging naar een hoger niveau te brengen.
Lees meer op bio-overheid.nl.
