De Baseline informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, nu is er met gezamenlijke inspanning één BIO voor de gehele overheid.
Eén normenkader
Het gebruik van één normenkader voor de gehele overheid biedt een aantal voordelen:
- Het versterken van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door uniforme beveiligingsnormen bij de overheid;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
Implementatie BIO
De BIO is in december 2018 vastgesteld door de Ministerraad voor de Rijksoverheid. Daarvoor was door de gemeenten, waterschappen en provincie reeds besloten tot invoering van de BIO. De overheidslagen zijn per 1-1-2019 gestart met de implementatie van de BIO. Iedere overheidslaag heeft daarvoor zelf een implementatiepad opgesteld. De minister van BZK heeft bepaald dat in het digitale verkeer met het Rijk de BIO wordt gehanteerd.
Onderhoud
De interbestuurlijke werkgroep-BIO onderhoudt de BIO (als onderdeel van het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO). In de werkgroep-BIO zijn onder het voorzitterschap van BZK de 4 overheidskoepels vertegenwoordigd aangevuld met een aantal grote uitvoeringsorganisaties, het Forum Standaardisatie, het NCSC en het Centrum voor Informatiebeveiliging & Privacybescherming. Het onderhoud op de BIO heeft geleid tot de oplevering van de BIO versie 1.04 zonder verwijzingen (BIO 1.04zv). Deze is sinds 17 juni 2020 van kracht.
BIO en de ‘pas-toe-of-leg-uitlijst’
Informatiebeveiligingsstandaarden ISO 27001 en ISO 27002 zijn geplaatst op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Op de die lijst wordt de verhouding tussen de ISO-standaard 27001 en 27002 met de BIO uitgelegd. De BIO is gebaseerd op de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. De overheid heeft zich verplicht de BIO te implementeren.
