De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, nu is er met gezamenlijke inspanning 1 BIO voor de gehele overheid.
1 normenkader
Het gebruik van 1 normenkader voor de gehele overheid biedt een aantal voordelen:
- Het versterken van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door uniforme beveiligingsnormen bij de overheid;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
Implementatie BIO
De BIO is in december 2018 vastgesteld door de ministerraad voor de Rijksoverheid. Daarvoor was door de gemeenten, waterschappen en provincie reeds besloten tot invoering van de BIO. De overheidslagen zijn per 1 januari 2019 gestart met de implementatie van de BIO. Iedere overheidslaag heeft daarvoor zelf een implementatiepad opgesteld. De minister van BZK heeft bepaald dat in het digitale verkeer met het Rijk de BIO wordt gehanteerd.
BIO en de ‘pas-toe-of-leg-uitlijst’
Informatiebeveiligingsstandaarden ISO 27001 en ISO 27002 zijn geplaatst op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Op de die lijst wordt de verhouding tussen de ISO-standaard 27001 en 27002 met de BIO uitgelegd. De BIO is gebaseerd op de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. De overheid heeft zich verplicht de BIO te implementeren.
Onderhoud
De interbestuurlijke werkgroep-BIO draagt zorg voor het onderhoud op de BIO. Onder het voorzitterschap van BZK zijn in de werkgroep de 4 overheidskoepels vertegenwoordigd: CIO Rijk, Vereniging Nederlandse Gemeenten, InterProvinciaal Overleg en Unie van Waterschappen. Verder bestaat de werkgroep uit een aantal grote uitvoeringsorganisaties, het Forum Standaardisatie, het Nationaal Cybersecurity Centrum en het Centrum voor Informatiebeveiliging & Privacybescherming. Besluitvorming over de BIO vindt plaats in het kern-IBO, waarin onder voorzitterschap van BZK vertegenwoordigers van de 4 overheidskoepels zitting hebben.
Het onderhoud op de BIO heeft geleid tot de oplevering van de BIO versie 1.04 zonder verwijzingen (BIO 1.04zv). Deze is sinds 17 juni 2020 van kracht.
Op dit moment wordt er gewerkt aan de BIO2.0. Omdat de BIO2.0 pas eind 2024 van kracht zal worden, is op 1 juni 2023 de handreiking BIO2.0-opmaat opgeleverd. In deze handreiking is de indeling van de controls, doelstellingen en overheidsmaatregelen in deel 2 van de BIO in lijn gebracht met de 2022-versie van de ISO-27002. Naast tekstuele wijzigingen, zijn ook een aantal overheidsmaatregelen geactualiseerd, vanwege nieuwe dreigingen, zoals ransomware. Naast de verhoging van de feitelijke veiligheid, wordt ook geanticipeerd op aanpassingen die in de BIO2.0 zullen worden doorgevoerd. Overheidsorganisaties doen er goed aan deze actualisatie in hun beveiliging door te voeren.
Evaluatie Baseline Informatiebeveiliging Overheid en BIO2.0
De BIO is in 2022 geëvalueerd. Het evaluatierapport bevat de resultaten van de evaluatie die door bureau Berenschot is begeleid. Het rapport is richtinggevend voor het feitelijk herschrijven van de BIO.
In verband met de inwerkingtreding van de Europese Netwerk- en informatiebeveiligingsrichtlijn (NIB2) is begin 2023 besloten de oplevering van de BIO2.0 te koppelen aan de wetgeving die uit de NIB2 volgt. Dat betekent dat uiterlijk 17 oktober 2024 de BIO2.0 van kracht zal worden.
Onderzoek sturen op informatieveiligheid
Het ministerie van BZK heeft een onderzoek laten uitvoeren naar de wijze waarop andere grote (commerciële) organisaties sturing geven aan informatieveiligheid. De lessen hieruit zijn input geweest bij het bestuurlijke deel van de evaluatie van de BIO. Ook vormen ze input bij het verbeteren van het IB-stelsel binnen de overheid.