De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Het gebruik van 1 normenkader voor de gehele overheid biedt een aantal voordelen:
- Het versterken van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door voorspelbare uniforme beveiligingsnormen bij de overheid;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
De laatste versie van de BIO is te vinden op bio-overheid.nl.
Belangrijke wijzigingen in de BIO2
De BIO2 weerspiegelt de internationale beveiligingsnormen (NEN-EN-ISO/IEC 27001:2023 (nl) en NEN-EN-ISO/IEC 27002:2022 (nl)) en vervangt de indeling in 3 Basisbeveiligingsniveaus (BBN’s) uit de vorige BIO versies, door een explicietere risicogerichte benadering. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s, zonder vast te zitten aan de 3 beveiligingsniveaus.
Daarnaast hebben de overheidsmaatregelen een update gehad en waar mogelijk zijn maatregelen verlicht. Door de verplichte doorwerking op de BIO2 van de NIS2-richtlijn (via de Nederlandse Cyberbeveiligingswet) zijn ook een aantal overheidsmaatregelen verzwaard.
De BIO2 en de ISO standaard
De BIO2 is gebaseerd op de NEN-EN-ISO/IEC 27001:2023 (nl) en NEN-EN-ISO/IEC 27002:2022 (nl).
- NEN-EN-ISO/IEC 27001:2023 (nl) moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en op het vaststellen van het toepassingsgebied (de reikwijdte) van dit managementsysteem.
- NEN-EN-ISO/IEC 27002:2022 (nl) moet risico gedreven worden toegepast op het formuleren van passende beheersmaatregelen.
Waar de beheersmaatregelen uit de ISO-standaard moeten worden toegepast op basis van het vastgestelde risico, zijn overheidsorganisaties minimaal verplicht om de overheidsmaatregelen uit de BIO2 toe te passen. Hiermee wil de overheid een basisniveau van informatiebeveiliging garanderen en samenwerking bevorderen.
Op basis van de risico’s moeten organisaties, naast de beheersmaatregelen uit de ISO-standaard en de overheidsmaatregelen uit de BIO, aanvullende maatregelen treffen om de veiligheid te borgen. Hierbij kunnen organisaties zelf passende standaarden selecteren. Denk bijvoorbeeld aan de Cybersecurity Implementatierichtlijn (CSIR) voor de beveiliging van Operationele Technologie (OT) of de NEN7510 voor zorginformatie.
De Cyberbeveiligingswet (Cbw) en BIO2
In lijn met de Nationale Cybersecurity Strategie (NLCS) wordt de BIO2 opgenomen in de verplichtingen die voortvloeien uit de Cyberbeveiligingswet (Cbw), als onderdeel van de implementatie van de NIS2-richtlijn. De BIO2 zal dienen als normenkader voor de zorgplicht die de overheid heeft op het gebied van informatiebeveiliging. Het hanteren van de BIO2 is gericht op een uniforme en gecoördineerde aanpak van cyberbeveiliging. Hopelijk zorgt de bekendheid van de BIO2 voor een ‘zachte landing’ van de Cbw en lagere regelgeving bij de verschillende overheidsorganisaties.
Het opnemen van de BIO2 in de ministeriële regeling van de Cbw zal de aard en inhoud van de maatregelen niet veranderen. Wel kan een aantal overheidsmaatregelen in de ministeriële regeling worden uitgezonderd van wettelijke verplichting, omdat ze niet passen binnen de reikwijdte van de Cbw en lagere regelgeving, het Cyberbeveiligingsbesluit en de ministeriële regeling. Deze maatregelen beperken zich tot de beveiliging van netwerk- en informatiesystemen. Ook is het noodzakelijk dat een volgende versie van de BIO2 dichter aansluit op de Cbw voor wat betreft taal en juridische bepalingen.
Verplichtende zelfregulering
Vanaf 24 september 2025 tot de inwerkingtreding van de Cbw hanteren de provincies, waterschappen en het Rijk de BIO2 als verplichtende zelfregulering. Per bestuurslaag en organisatie moet er een passend implementatiepad worden gekozen om aan de BIO2 te voldoen. De BIO-versie 1.04 komt daarmee voor deze overheden te vervallen. Gemeenten gaan de BIO2 ook toepassen als richtinggevend kader, maar de BIO-versie 1.04 blijft voor hen gelden als verplichtende zelfregulering tot de inwerkingtreding van de Cbw.
Ook na de inwerkingtreding van de Cbw blijft de BIO2 gelden als verplichtende zelfregulering voor organisaties die niet onder de Cbw vallen. Deze organisaties bij de Rijksdienst, zoals het ministerie van Defensie en de AIVD, blijven gebonden via een besluit dat via de ministerraad wordt vastgesteld (zoals dat voor de vorige versie van de BIO ook is besloten in de ministerraad van 14 december 2018). Verplichtende zelfregulering blijft voor alle organisaties van kracht voor overheidsmaatregelen die buiten de scope van de Cbw vallen.
Onderhoud en beheer van de BIO2
De interbestuurlijke werkgroep-BIO draagt zorg voor het onderhoud op de BIO. Onder het voorzitterschap van het ministerie van BZK zijn daarin de verschillende overheidslagen vertegenwoordigd:
- CIO Rijk
- Vereniging Nederlandse Gemeenten (VNG)
- Interprovinciaal Overleg (IPO)
- Unie van Waterschappen (UvW)
Verder bestaat de werkgroep uit:
- een aantal grote uitvoeringsorganisaties
- Forum Standaardisatie
- het Nationaal Cybersecurity Centrum (NCSC)
- het Centrum voor Informatiebeveiliging & Privacybescherming (CIP)
Besluitvorming over de BIO vindt plaats in het Kern-IBO, waarin onder voorzitterschap van het ministerie van BZK vertegenwoordigers van de 4 overheidslagen zitting hebben.
Omdat de BIO een overheidsbreed product is, is het de bedoeling bij alle gebruikersgroepen ervaringen op te halen. Gebruikers van de BIO kunnen doorlopend feedback geven via GitHub. De werkgroep-BIO behandelt deze feedback om tot een volgende versie te komen.
Samen aan de slag
Om organisaties te helpen met de implementatie van de BIO2 heeft het CIP verschillende ondersteunende documenten opgesteld, zoals een het BIO Self-Assessment, veelgestelde vragen en een ‘was-wordt-lijst’ met daarin de verschillen tussen de BIO2 en vorige versies.
Daarnaast organiseert het CIP op verzoek van het ministerie van BZK een implementatiebegeleidingscampagne met evenementen en handreikingen. Dit helpt organisaties hun informatiebeveiliging naar een hoger niveau te brengen.
Lees meer op bio-overheid.nl.
