BIO 2.0 – NIS2, Cbw, 27001, BCM, OT en 27005

Het ontwerp voor de BIO 2.0 is ontwikkeld in samenwerking met gemeenten, provincies, waterschappen en de Rijksoverheid en is momenteel in conceptversie beschikbaar via Github. Het conceptontwerp, gebaseerd op de Harmonized Structure, bevat de volgende elementen:

1. BIO2 Inleiding: Vergelijkbaar met de inleiding van NEN 7510, wordt de context voor informatiebeveiliging voor de overheid toegelicht. Dit omvat ISMS, risicomanagement, governance, soorten overheidsinformatie, aanvullende normen, dreigingen, kwetsbaarheden, en wet- en regelgeving.
2. Eisen 27001: Verwijzing naar de eisen van de ISO 27001 (versie: 2022), verplicht voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. In de huidige BIO wordt uitsluitend vrijblijvend verwezen naar de ISO 27001.
3. Beheersmaatregelen: Verwijzing naar de ISO 27002 (versie: 2022) moet worden toegepast op het formuleren van beheersmaatregelen. Waar nodig kunnen ze worden vervangen of gecombineerd met beheersmaatregelen uit NEN 7510 en/of CSIR.
4. Verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen: Hier staan de verplichte maatregelen voor de overheid om aan de beheersdoelstellingen te voldoen. BIO volgt de structuur van ISO 27002 en richt zich op organisatorische, menselijke, fysieke en technische maatregelen. Ze zijn aanvullend op ISO 27002 en moeten verplicht worden toegepast.
5. Toegevoegde waarde overheidsspecifieke maatregelen: De overheid specifieke beheersmaatregelen moeten van toegevoegde waarde zijn op de ISO 27001 (annex A). Voorbeelden zijn cyberhygiëne maatregelen uit NIS2, een Nationaal Detectie Netwerk, en periodieke herziening van beleid.

De verschillen tussen de huidige en komende BIO

De BIO 2.0 is het nieuwe normenkader en bestaat uit de ISO 27001 en ISO 27002 en aanvullende overheidsmaatregelen. De ISO 27001, inrichting van een Information Security Management System (ISMS), is dus nieuw. Hieronder zet ik de grootste verschillen tussen de huidige en komende BIO op een rij: 

• Van BIO first’ naar ‘ISO first’: Voorheen was het uitgangspunt bij informatiebeveiliging binnen overheden de BIO. In de nieuwe versie wordt de focus verlegd naar de internationale standaard ISO 27001/2. Dit betekent dat de principes en eisen van de ISO-standaarden nu centraal staan in plaats van de BIO-richtlijnen.
• Van rule based naar risk based: Voorheen waren de beveiligingsmaatregelen met name gebaseerd op vaste regels (rule based). In de nieuwe aanpak worden de maatregelen gebaseerd op risico’s (risk based). Dit betekent dat organisaties eerst een risicoanalyse moeten uitvoeren en vervolgens maatregelen treffen die specifiek zijn afgestemd op de gevonden risico’s.
• Van verplichtende zelfregulering naar bestuurdersverantwoordelijkheid: In de huidige BIO ligt de nadruk op zelfregulering, waarbij organisaties zelf verantwoordelijk zijn voor het naleven van de regels. In de nieuwe aanpak wordt er meer verantwoordelijkheid bij de bestuurders gelegd. Dit betekent dat de top van de organisatie direct verantwoordelijk wordt voor de naleving van de informatiebeveiligingsmaatregelen. Daarnaast komt er extern toezicht op de naleving van de Cbw door de Rijksinspectie Digitale Infrastructuur.
• Van baselinetoets naar baseline toets met beperkte specifieke overheidsmaatregelen: De oude baselinetoets was een generieke toets voor alle overheidsorganisaties. De nieuwe baselinetoets is specifieker en richt zich op een beperkte set van maatregelen die van toepassing zijn op specifieke situaties binnen overheidsorganisaties.
• Van BBN niveau naar risicomanagement (ISMS / PDCA): De basisbeveiligingsniveaus (BBN’s) worden losgelaten en vervangen door een systematisch risicomanagementproces, zoals beschreven in de ISO 27001 standaard. Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces.
• Van soms een risicoanalyse naar verplichte risicoanalyses (scope): Waar voorheen een risicoanalyse soms werd uitgevoerd, wordt dit nu verplicht gesteld. Dit betekent dat elke overheidsorganisatie regelmatig een uitgebreide risicoanalyse moet uitvoeren om potentiële dreigingen en kwetsbaarheden in kaart te brengen en de daarmee samenhangende risico’s te beheersen.
• Van compliancy gericht naar verplichte processen: In plaats van voornamelijk te richten op naleving (compliancy) van regels en richtlijnen, worden nu verplichte processen geïntroduceerd. Dit betekent dat organisaties gestructureerde en gedocumenteerde processen moeten hebben om informatiebeveiliging te waarborgen.
• Van afvinklijstjes naar integrale benadering risicomanagement: In de oude situatie werd vaak gewerkt met een checklist (afvinklijstje) om te controleren of aan alle eisen was voldaan. In de nieuwe aanpak ligt de nadruk meer op een integrale benadering van risicomanagement in plaats van alleen het afvinken van verplichte maatregelen.
• Van ENSIA compliance naar ISO 27001 certificeerbaar: De Eenduidige Normatiek Single Information Audit (ENSIA) blijft een belangrijk instrument voor het toetsen van informatiebeveiliging bij overheden. In de nieuwe aanpak wordt ernaar gestreefd om het ISO 27001 proces certificeerbaar te maken, wat betekent dat gemeenten kunnen aantonen dat ze voldoen aan de gestelde normen en richtlijnen.

Nieuwe verplichte maatregelen

Om de beveiliging van gevoelige informatie te waarborgen, zijn er ook nieuwe verplichte maatregelen opgenomen die organisaties moeten implementeren. Hieronder vind je de belangrijkste nieuwe maatregelen:

• Verantwoordelijkheden en rollen in informatiebeveiliging (5.02.01): De leiding van de organisatie moet duidelijk vastleggen wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging, inclusief Operationele Technologie (OT) en Business Continuity Management (BCM). Dit omvat specifieke aandacht voor de afhandeling van incidenten.
• Aanstellen van een CISO (5.02.03): Er moet een Chief Information Security Officer (CISO) worden aangesteld volgens een vastgesteld functieprofiel. De CISO moet een onafhankelijke positie hebben binnen de organisatie ten opzichte van het lijnmanagement, zodat hij of zij vrij kan rapporteren aan het bestuur en/of het controlerende orgaan.
• Risicoafweging bij nieuwe informatiesystemen (5.08.01): Bij de implementatie van nieuwe informatiesystemen en wijzigingen aan bestaande systemen moet een expliciete risicoafweging worden uitgevoerd volgens de NEN-ISO-27005. Dit is belangrijk voor het vaststellen van de beveiligingseisen.
• Meldplicht van beveiligingsincidenten (5.27.03): Bij incidenten moeten gemeenten de Informatiebeveiligingsdienst voor gemeenten (IBD) bellen. De opvolging en oplossing van meldplichtige beveiligingsincidenten moeten worden gemeld aan het Nationaal Cyber Security Centrum (NCSC) conform de Cbw.
• Implementatie van een werkend ISMS (5.35.01): Er moet een Information Security Management System (ISMS) zijn dat voldoet aan de ISO 27001-normen. Dit systeem moet niet alleen beleid bevatten, maar ook de Plan-Do-Check-Act (PDCA) cyclus, continue monitoring, verbeterprocessen, corrigerende maatregelen, risicobeoordelingen, en andere noodzakelijke maatregelen.
• Opleiding voor bestuurders (5.10.01): Bestuurders moeten kunnen aantonen dat zij opleidingen hebben gevolgd waarmee zij voldoende kennis en vaardigheden hebben gekregen om risico’s op het gebied van cyberbeveiliging te herkennen en de gevolgen daarvan te beoordelen op de diensten en/of producten die de organisatie levert.
• Opleiding en training voor werknemers (5.10.4): Werknemers moeten regelmatig, net zoals bestuurders, een opleiding en/of training volgen om risico’s te kunnen herkennen en daar op de juiste manier op te reageren.
• Gebruikerstests (8.07.05): Gebruikers moeten minimaal jaarlijks worden getest op hun klikgedrag om de bewustwording en reactie op phishing en andere cyberdreigingen te verbeteren.

Naast nieuwe maatregelen, komen er ook enkele verplichte maatregelen te vervallen, namelijk:

• Basisbeveiligingsniveaus: In de BIO 2.0 worden de basisbeveiligingsniveaus (BBN’s) losgelaten om te voorkomen dat classificeren een doel op zichzelf wordt.
• Wet- en regelgeving als specifiek doel: De BIO 2.0 dekt niet alle relevante wet- en regelgeving af voor overheden, daarvoor zijn de wetten en regelgeving voor de verschillende overheden te divers.

Tot slot behoudt de Informatiebeveiligingsdienst (IBD) haar taak als sectorale CERT / CSIRT voor alle Nederlandse gemeenten.