Het besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2025 (VIRBI 2025) is een Nederlands rijksbreed normenkader voor de beveiliging van bijzondere (vertrouwelijke en gerubriceerde) overheidsinformatie.
VIRBI 2025 bevat regels en richtlijnen voor hoe de Rijksoverheid gevoelige informatie, zoals staatsgeheimen, moet classificeren en beveiligen. Met nadruk op het waarborgen van de vertrouwelijkheid. Het is een actualisatie van de versie uit 2013 en sluit aan op het huidige dreigingsbeeld en technologische ontwikkelingen. Het doel is om de digitale en fysieke weerbaarheid van de overheid te versterken en te zorgen dat gevoelige informatie structureel goed beschermd blijft.
VIRBI 2025 bij de Rijksoverheid
De Rijksoverheid is een interessant doelwit voor kwaadwillende actoren. En de dreiging neemt toe. Dit blijkt onder andere uit edities van het Cybersecuritybeeld Nederland en het AIVD-jaarverslag. Daarom is het versterken van de digitale weerbaarheid van de Rijksoverheid een belangrijk en strategisch speerpunt. Daarnaast moeten burgers en bedrijven kunnen blijven vertrouwen op de dienstverlening van de overheid.
Gereedschapskist
Hoe kun je als organisatie of departement aan VIRBI voldoen? En hoe implementeer je het? Om je hiermee te helpen is er een gereedschapskist gemaakt met verschillende gereedschappen.
Voor wie is de gereedschapskist bedoeld?
De gereedschapskist is bedoeld voor betrokkenen bij de implementatie van VIRBI 2025:
- BVA- en CISO-onderdelen
- (security) architecten
- risicomanagementfuncties
- project- en programmaleiders
- CIO’s, lijnmanagers, directeuren en bestuurders zoals DG/SG
- overige medewerkers die betrokken zijn bij implementatie van VIRBI
- cybersecuritybedrijven die in opdracht van rijksorganisaties opdrachten uitvoeren
Ook andere overheden kunnen de hulpmiddelen gebruiken.
Implementatie VIRBI 2025 (helicopterview)
Om de implementatie in beeld te brengen, is er een praatplaat gemaakt. Hierin staan 7 aspecten:
- rubriceer
- doel, scope en aanpak
- governance en samenwerking
- Te Beschermen Belangen (TBB) in beeld brengen
- risicoanalyse op TBB’s
- maatregelen en bouwarchitectuur implementeren
- PDCA-cyclus en tactisch team
Voor alle aspecten zijn gereedschappen ontwikkeld om je verder te helpen. Deze vind je ook op deze pagina, in dit overzicht.
Van start met de implementatie
Om van start te gaan met de implementatie van VIRBI 2025 is het handig om een plan van aanpak op te stellen. Het document Van start met de implementatie VIRBI 2025 helpt je hierbij. Hierin staan de stappen die moeten worden doorlopen en de belangrijkste uitgangspunten.
Rubriceren
Om je te helpen met rubriceren volgens VIRBI is er een handleiding gemaakt. Zo krijg je een beter beeld over wanneer en hoe je bijzondere informatie beschermt. De handleiding is bedoeld voor medewerkers van de Rijksdienst die werken met vertrouwelijke informatie die misschien extra beveiliging verdient. Bekijk de handleiding.
Governance
Governance is cruciaal voor het effectief implementeren van VIRBI 2025, omdat het kaders en processen biedt voor het beheren van gerubriceerde informatie. Zonder governance blijft beveiliging fragmentarisch, reactief en afhankelijk van individuen in plaats van het structureel te borgen. Bekijk het document.
Te Beschermen Belangen (TBB's) systematiek
Onder Te Beschermen Belangen (TBB’s) vallen informatie, informatiesystemen, materieel, goederen (bewinds)personen en objecten waarbij compromitteren ernstige gevolgen kan hebben.
Ben jij TBB-eigenaar of verantwoordelijk voor het in kaart brengen en beveiligen van een TBB? Dit document beschrijft de systematiek en helpt je op weg bij de implementatie van VIRBI 2025. Bekijk het document.
Risicoanalyse
De maatregelen die genomen moeten worden om de vertrouwelijkheid van bijzondere informatie te beschermen worden bepaald op basis van een risicoanalyse. VIRBI 2025 gaat over vertrouwelijkheid, maar in de praktijk neem je betrouwbaarheid en integriteit hier ook in mee. Bekijk het Gereedschap risicoanalyse van gerubriceerde informatie.
Het nemen van maatregelen
Om effectief mitigerende maatregelen te nemen is het belangrijk om niet alleen losse acties te beschrijven, maar ook de samenhang, prioriteit, verantwoordelijkheid en borging. Het document over het nemen van maatregelen helpt je om een compact, maar volledig plan op te stellen om te voldoen aan VIRBI.
PDCA-cyclus
Deze PDCA-checklist (Plan, Do, Check, Act) helpt organisaties binnen de Rijksoverheid om systematisch te toetsen of zij voldoen aan de eisen uit VIRBI 2025. Hiermee zie je direct of alle verplichte maatregelen zijn ingericht. Bekijk de checklist.
De gereedschappen zijn tot stand gekomen door een brede werkgroep van professionals uit de BVA en CISO-teams. Dit is een eerste publicatie van de gereedschapskist. Op basis van praktijkervaring wordt dit periodiek bijgesteld en verrijkt (met overheid specifieke hulpmiddelen). Ook kun je met verschillende collega’s in gesprek over belangrijke onderwerpen tijdens workshops of tabletops. Heb je interesse om deel te nemen? Mail dan naar CISORijk@minbzk.nl.
