Skip to main content
12 juli 2024
Samenvatting
De BIO 2.0 wordt het nieuwe normenkader informatiebeveiliging voor de overheid en geeft invulling aan de eisen vanuit de NIS2-richtlijn. In deze blog lees je de belangrijkste veranderingen.
Volg qeep

BIO 2.0 – NIS2, Cbw, 27001, BCM, OT en 27005

Een overzicht in wat er allemaal gaat veranderen met de komende BIO 2.0
12 juli 2024

De BIO 2.0 wordt het nieuwe normenkader informatiebeveiliging voor de overheid en volgt op de evaluatie van de huidige BIO. Met BIO 2.0 wordt ook invulling gegeven aan eisen vanuit de NIS2-richtlijn, die horen bij de beveiliging van overheidsinformatie. Welke veranderingen zien we in de nieuwe (concept)versie? In deze blog vat ik het voor je samen.

Baseline Informatiebeveiliging Overheid

van versie 1.04 naar 2.0

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). De BIO is gebaseerd op de internationale standaarden voor informatiebeveiliging (ISO 27002) en heeft risicomanagement als uitgangspunt. De BIO is al geruime tijd een belangrijk instrument in Nederland voor de beveiliging van overheidsinformatie.

De BIO 2.0 wordt het nieuwe kader voor de overheid voor informatiebeveiliging. De nieuwe BIO volgt op de evaluatie van de huidige BIO en valt samen met de ontwikkelingen rondom de NIS2-richtlijn. Met de BIO 2.0 wordt er ook invulling gegeven aan eisen uit de NIS2-richtlijn, die horen bij de beveiliging van overheidsinformatie. De implementatie van de BIO 2.0 wordt dus van cruciaal belang voor gemeenten om te voldoen aan de groeiende verplichtingen die voortvloeien uit de NIS2-richtlijn. Wanneer een gemeente voldoet aan de eisen van de BIO, hoeven zij zich geen grote zorgen te maken over NIS2. Het is wel belangrijk om op te merken dat er wel degelijk een verschil bestaat tussen wat de BIO en NIS2 van gemeenten verlangen. Lees hier meer over in mijn eerdere blog: ‘Het huwelijk tussen de BIO en NIS2’.

“Met de BIO 2.0 wordt er ook invulling gegeven aan eisen uit de NIS2-richtlijn, die horen bij de beveiliging van overheidsinformatie.”

NIS2-richtlijn en Cyberbeveiligingswet

De Europese Richtlijn met de naam Network & Information Systems (NIS)2 vervangt de eerdere NIS richtlijn. Het doel van de NIS is om binnen de EU het cyberweerbaarheidsniveau te verhogen. De NIS2-richtlijn heeft belangrijke implicaties voor gemeenten als het gaat om toezicht op informatiebeveiliging. De richtlijn is sinds begin dit jaar van kracht en moet door EU-lidstaten worden omgezet in nationale wetgeving. In Nederland gebeurt dit via de Cyberbeveiligingswet (Cbw). De Cbw is dus de vertaling van NIS2 naar Nederlandse wetgeving. De Nederlandse wetsteller, het Ministerie van Justitie en Veiligheid, heeft een voorlopig wetsvoorstel klaarliggen. Tijdens de open consultatieronde van de Cbw hebben gemeenten afgelopen maand feedback kunnen geven op dit voorstel. Naar verwachting zal de Cbw in 2025 in werking treden.

Conceptontwerp BIO 2.0

Ofwel: je kan of kon inhoudelijke reacties geven

Het ontwerp voor de BIO 2.0 is ontwikkeld in samenwerking met gemeenten, provincies, waterschappen en de Rijksoverheid en is momenteel in conceptversie beschikbaar via Github. Het conceptontwerp, gebaseerd op de Harmonized Structure, bevat de volgende elementen:

  1. BIO2 Inleiding: Vergelijkbaar met de inleiding van NEN 7510, wordt de context voor informatiebeveiliging voor de overheid toegelicht. Dit omvat ISMS, risicomanagement, governance, soorten overheidsinformatie, aanvullende normen, dreigingen, kwetsbaarheden, en wet- en regelgeving.
  2. Eisen 27001: Verwijzing naar de eisen van de ISO 27001 (versie: 2022), verplicht voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. In de huidige BIO wordt uitsluitend vrijblijvend verwezen naar de ISO 27001.
  3. Beheersmaatregelen: Verwijzing naar de ISO 27002 (versie: 2022) moet worden toegepast op het formuleren van beheersmaatregelen. Waar nodig kunnen ze worden vervangen of gecombineerd met beheersmaatregelen uit NEN 7510 en/of CSIR.
  4. Verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen: Hier staan de verplichte maatregelen voor de overheid om aan de beheersdoelstellingen te voldoen. BIO volgt de structuur van ISO 27002 en richt zich op organisatorische, menselijke, fysieke en technische maatregelen. Ze zijn aanvullend op ISO 27002 en moeten verplicht worden toegepast.
  5. Toegevoegde waarde overheidsspecifieke maatregelen: De overheid specifieke beheersmaatregelen moeten van toegevoegde waarde zijn op de ISO 27001 (annex A). Voorbeelden zijn cyberhygiëne maatregelen uit NIS2, een Nationaal Detectie Netwerk, en periodieke herziening van beleid.

De verschillen tussen de huidige en komende BIO

De BIO 2.0 is het nieuwe normenkader en bestaat uit de ISO 27001 en ISO 27002 en aanvullende overheidsmaatregelen. De ISO 27001, inrichting van een Information Security Management System (ISMS), is dus nieuw. Hieronder zet ik de grootste verschillen tussen de huidige en komende BIO op een rij: 

  • Van BIO first’ naar ‘ISO first’: Voorheen was het uitgangspunt bij informatiebeveiliging binnen overheden de BIO. In de nieuwe versie wordt de focus verlegd naar de internationale standaard ISO 27001/2. Dit betekent dat de principes en eisen van de ISO-standaarden nu centraal staan in plaats van de BIO-richtlijnen.
  • Van rule based naar risk based: Voorheen waren de beveiligingsmaatregelen met name gebaseerd op vaste regels (rule based). In de nieuwe aanpak worden de maatregelen gebaseerd op risico’s (risk based). Dit betekent dat organisaties eerst een risicoanalyse moeten uitvoeren en vervolgens maatregelen treffen die specifiek zijn afgestemd op de gevonden risico’s.
  • Van verplichtende zelfregulering naar bestuurdersverantwoordelijkheid: In de huidige BIO ligt de nadruk op zelfregulering, waarbij organisaties zelf verantwoordelijk zijn voor het naleven van de regels. In de nieuwe aanpak wordt er meer verantwoordelijkheid bij de bestuurders gelegd. Dit betekent dat de top van de organisatie direct verantwoordelijk wordt voor de naleving van de informatiebeveiligingsmaatregelen. Daarnaast komt er extern toezicht op de naleving van de Cbw door de Rijksinspectie Digitale Infrastructuur.
  • Van baselinetoets naar baseline toets met beperkte specifieke overheidsmaatregelen: De oude baselinetoets was een generieke toets voor alle overheidsorganisaties. De nieuwe baselinetoets is specifieker en richt zich op een beperkte set van maatregelen die van toepassing zijn op specifieke situaties binnen overheidsorganisaties.
  • Van BBN niveau naar risicomanagement (ISMS / PDCA): De basisbeveiligingsniveaus (BBN’s) worden losgelaten en vervangen door een systematisch risicomanagementproces, zoals beschreven in de ISO 27001 standaard. Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces.
  • Van soms een risicoanalyse naar verplichte risicoanalyses (scope): Waar voorheen een risicoanalyse soms werd uitgevoerd, wordt dit nu verplicht gesteld. Dit betekent dat elke overheidsorganisatie regelmatig een uitgebreide risicoanalyse moet uitvoeren om potentiële dreigingen en kwetsbaarheden in kaart te brengen en de daarmee samenhangende risico’s te beheersen.
  • Van compliancy gericht naar verplichte processen: In plaats van voornamelijk te richten op naleving (compliancy) van regels en richtlijnen, worden nu verplichte processen geïntroduceerd. Dit betekent dat organisaties gestructureerde en gedocumenteerde processen moeten hebben om informatiebeveiliging te waarborgen.
  • Van afvinklijstjes naar integrale benadering risicomanagement: In de oude situatie werd vaak gewerkt met een checklist (afvinklijstje) om te controleren of aan alle eisen was voldaan. In de nieuwe aanpak ligt de nadruk meer op een integrale benadering van risicomanagement in plaats van alleen het afvinken van verplichte maatregelen.
  • Van ENSIA compliance naar ISO 27001 certificeerbaar: De Eenduidige Normatiek Single Information Audit (ENSIA) blijft een belangrijk instrument voor het toetsen van informatiebeveiliging bij overheden. In de nieuwe aanpak wordt ernaar gestreefd om het ISO 27001 proces certificeerbaar te maken, wat betekent dat gemeenten kunnen aantonen dat ze voldoen aan de gestelde normen en richtlijnen.

Nieuwe verplichte maatregelen

Om de beveiliging van gevoelige informatie te waarborgen, zijn er ook nieuwe verplichte maatregelen opgenomen die organisaties moeten implementeren. Hieronder vind je de belangrijkste nieuwe maatregelen:

  • Verantwoordelijkheden en rollen in informatiebeveiliging (5.02.01): De leiding van de organisatie moet duidelijk vastleggen wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging, inclusief Operationele Technologie (OT) en Business Continuity Management (BCM). Dit omvat specifieke aandacht voor de afhandeling van incidenten.
  • Aanstellen van een CISO (5.02.03): Er moet een Chief Information Security Officer (CISO) worden aangesteld volgens een vastgesteld functieprofiel. De CISO moet een onafhankelijke positie hebben binnen de organisatie ten opzichte van het lijnmanagement, zodat hij of zij vrij kan rapporteren aan het bestuur en/of het controlerende orgaan.
  • Risicoafweging bij nieuwe informatiesystemen (5.08.01): Bij de implementatie van nieuwe informatiesystemen en wijzigingen aan bestaande systemen moet een expliciete risicoafweging worden uitgevoerd volgens de NEN-ISO-27005. Dit is belangrijk voor het vaststellen van de beveiligingseisen.
  • Meldplicht van beveiligingsincidenten (5.27.03): Bij incidenten moeten gemeenten de Informatiebeveiligingsdienst voor gemeenten (IBD) bellen. De opvolging en oplossing van meldplichtige beveiligingsincidenten moeten worden gemeld aan het Nationaal Cyber Security Centrum (NCSC) conform de Cbw.
  • Implementatie van een werkend ISMS (5.35.01): Er moet een Information Security Management System (ISMS) zijn dat voldoet aan de ISO 27001-normen. Dit systeem moet niet alleen beleid bevatten, maar ook de Plan-Do-Check-Act (PDCA) cyclus, continue monitoring, verbeterprocessen, corrigerende maatregelen, risicobeoordelingen, en andere noodzakelijke maatregelen.
  • Opleiding voor bestuurders (5.10.01): Bestuurders moeten kunnen aantonen dat zij opleidingen hebben gevolgd waarmee zij voldoende kennis en vaardigheden hebben gekregen om risico’s op het gebied van cyberbeveiliging te herkennen en de gevolgen daarvan te beoordelen op de diensten en/of producten die de organisatie levert.
  • Opleiding en training voor werknemers (5.10.4): Werknemers moeten regelmatig, net zoals bestuurders, een opleiding en/of training volgen om risico’s te kunnen herkennen en daar op de juiste manier op te reageren.
  • Gebruikerstests (8.07.05): Gebruikers moeten minimaal jaarlijks worden getest op hun klikgedrag om de bewustwording en reactie op phishing en andere cyberdreigingen te verbeteren.

Naast nieuwe maatregelen, komen er ook enkele verplichte maatregelen te vervallen, namelijk:

  • Basisbeveiligingsniveaus: In de BIO 2.0 worden de basisbeveiligingsniveaus (BBN’s) losgelaten om te voorkomen dat classificeren een doel op zichzelf wordt.
  • Wet- en regelgeving als specifiek doel: De BIO 2.0 dekt niet alle relevante wet- en regelgeving af voor overheden, daarvoor zijn de wetten en regelgeving voor de verschillende overheden te divers.

Tot slot behoudt de Informatiebeveiligingsdienst (IBD) haar taak als sectorale CERT / CSIRT voor alle Nederlandse gemeenten.

 

“Er moet een Information Security Management System (ISMS) zijn dat voldoet aan de ISO 27001-normen.”

Conclusie over BIO 2.0

Enkele belangrijke wijzigingen op rij

Samenvattend brengt de BIO 2.0 de volgende belangrijke wijzigingen met zich mee:

  • Business Continuity Management (BCM) en Operationele Technologie (OT) zijn expliciet binnen de scope opgenomen, wat het belang onderstreept van de continuïteit van de dienstverlening en de beveiliging van industriële systemen.
  • De integratie van ISO 27001 zorgt voor een gestructureerde en internationaal erkende aanpak van informatiebeveiliging.
  • Het gebruik van ISO 27005 voor risicoanalyses bevordert een continue benadering van risicobeheer, waardoor organisaties beter voorbereid zijn op dreigingen.
  • De verantwoordelijkheid voor cybersecurity en risicomanagement komt op bestuursniveau te liggen, wat ervoor zorgt dat deze onderwerpen op het hoogste niveau worden aangepakt.
  • De invoering van een dubbele meldplicht bij beveiligingsincidenten leidt tot meer transparantie en een betere opvolging van incidenten.

Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl