De Baseline Informatiebeveiliging Overheid (BIO) is met onmiddellijke ingang herzien. Versie 2, genaamd BIO2, is ontwikkeld onder leiding van het ministerie van BZK in samenwerking met gemeenten, provincies, waterschappen en het Rijk. Het overlegorgaan Overheidsbreed Beleidsoverleg Digitale Overheid stelde onlangs de nieuwe modus vast.
BIO2 geeft basisnormen voor informatiebeveiliging binnen alle overheidslagen. Volgens CertificeringsAdvies Nederland betreft het meer dan een update. ‘Het is een structurele modernisering van het informatiebeveiligingsbeleid van de overheid.’
De baseline draagt bij aan uniformiteit. Alle bestuurslagen werken volgens dezelfde beveiligingskaders. Bovendien speelt BIO2 beter in op actuele dreigingen zoals ransomware, ketenaanvallen en datalekken. Een ander voordeel is de verantwoordingsplicht. Die ondersteunt de naleving van wetgeving zoals de AVG, Wet beveiliging netwerk- en informatiesystemen en de Cyberbeveiligingswet.
Een van de belangrijkste wijzigingen is volgens de VNG het loslaten van de drie Basisbeveiligingsniveaus (BBN’s) uit de vorige BIO-versie. Versie 2 hanteert een explicietere risicogebaseerde aanpak. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s, zonder vast te zitten aan de drie beveiligingsniveaus.
Verschillende overheidsmaatregelen zijn verzwaard, zodat ze voldoen aan de eisen die voortvloeien uit de NIS2-richtlijn. Verder wordt de BIO2 opgenomen in de verplichtingen die voortvloeien uit de Cyberbeveiligingswet (Cbw). Dit als onderdeel van de implementatie van de NIS2-richtlijn.
Tenslotte komt er meer samenhang met andere normen. BIO2 sluit beter aan op ISO 27001 en andere internationale standaarden. De indeling van de controls/beheersmaatregelen en overheidsmaatregelen sluit aan bij vernieuwde indeling van de ISO 27002.
Waar de beheersmaatregelen uit de ISO-standaard moeten worden toegepast op basis van het vastgestelde risico, zijn overheidsorganisaties minimaal verplicht om de overheidsmaatregelen uit de BIO2 toe te passen. Hiermee wil de overheid een basisniveau van informatiebeveiliging garanderen en samenwerking bevorderen.
Op basis van de risico’s moeten organisaties, naast de beheersmaatregelen uit de ISO-standaard en de overheidsmaatregelen uit de BIO, aanvullende maatregelen treffen om de veiligheid te borgen. Hierbij kunnen organisaties zelf passende standaarden selecteren. Denk bijvoorbeeld aan de Cybersecurity Implementatierichtlijn voor de beveiliging van objecten in de watersector. Tevens is deze versie breed inzetbaar voor andere overheden die gebruik maken van procesautomatisering.
Richtinggevend
Voor gemeenten geldt BIO2 voorlopig niet als wettelijke verplichting, Het is een richtinggevend kader; een beleidslijn die gemeenten helpt om hun beleid, processen of maatregelen vorm te geven, zonder dat het juridisch bindend is.
BIO2 geeft duiding en sturing, maar laat ruimte voor eigen invulling. Het kader biedt handvatten voor risicomanagement, governance en technische maatregelen, maar gemeenten mogen zelf bepalen hoe ze dit toepassen binnen hun context. Formeel zijn gemeenten nog gebonden aan BIO 1.04 totdat de Cyberbeveiligingswet (Cbw) in werking treedt.
Voor provincies, waterschappen en het Rijk gaat BIO2 direct in als verplichtende zelfregulering. Dit richtinggevend karakter is bedoeld om een ‘zachte landing’ te creëren richting toekomstige verplichtingen onder de Cbw en NIS2-richtlijn.
Overheden uit deze categorie zijn zelf verantwoordelijk voor het naleven van een normenkader. Hier geldt een verplichting zonder dat dit meteen in een wet wordt vastgelegd. Wel gaat het om een bestuurlijke afspraak, waar eerdergenoemde OBDO aan te pas kan komen, en bekrachtigd door de ministerraad. Deze overheden moeten BIO2 toepassen alsof het een wettelijke verplichting is.
Voor deze constructies is gekozen om flexibiliteit mogelijk te maken. Zo ontstaat ruimte voor implementatie op maat, afhankelijk van organisatiegrootte, risico’s en ketenafhankelijkheid. Rekening is gehouden met het feit dat gemeenten sterk afhankelijk zijn van ict-dienstverleners en ketenpartners, wat de uitvoerbaarheid bemoeilijkt.
Bovendien kunnen beleidsmakers sneller normen invoeren zonder te wachten op formele wetgeving. En zoals gezegd helpt het overheden alvast te wennen aan toekomstige wettelijke verplichtingen.
Gemeenten kunnen BIO2 gebruiken als basis voor:
- Gap-analyses en risicobeoordelingen;
- Aanpassing van Information Security Management System. Het inrichten van een systeem volgens de ISO 27001-norm wordt verplicht gesteld;
- Inkoopvoorwaarden en leveranciersmanagement;
- Versterking van de rol van chief information security officer en interne governance. (De Vereniging Nederlandse Gemeenten had gevraagd om een sterkere juridische verankering van de ciso, inclusief onafhankelijkheid en rapportagelijnen. Eerder sprak de VNG ook haar zorgen uit omdat kleine gemeenten vreesden dat ze onvoldoende middelen hebben om BIO2 goed te implementeren, zeker gezien de samenloop met andere wetgeving zoals de Cyberbeveiligingswet en de Critical Entities Resilience-richtlijn.)
