Skip to main content
31 januari 2023
Samenvatting
In opdracht van BZK heeft Berenschot een evaluatie uitgevoerd naar de BIO. In deze blog lees je een overzicht van de belangrijkste uitkomsten.
Volg qeep

Evaluatie Baseline Informatiebeveiliging Overheid (BIO)

Hoe bevalt hét normenkader voor informatiebeveiliging binnen de overheidslagen?
31 januari 2023

Op 17 november 2022 is het rapport ‘Evaluatie Baseline Informatiebeveiliging Overheid (BIO)’ gepubliceerd door adviesbureau Berenschot. Het evaluatierapport bevat de resultaten van de evaluatie die door Berenschot is begeleid. Wat zijn de belangrijkste conclusies en aanbevelingen? Je leest het in deze blog.

Aanleiding

Waarom (nu) een evaluatie?

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). In december 2018 is de BIO vastgesteld door de Ministerraad voor de Rijksoverheid en in januari 2019 zijn de overheidslagen gestart met de implementatie van de BIO. De BIO is geheel gestructureerd volgens de NEN-ISO/IEC 27002-standaard uit 2017 en beschrijft de invulling van deze ISO-standaard voor de overheid. Bij de vaststelling van de BIO is afgesproken dat deze dit jaar (2023) wordt geëvalueerd. Door de komst van de nieuwe ISO27002 is deze evaluatie vervroegd naar 2022. Zo kan er dit jaar een vernieuwde BIO 2.0 verschijnen, met daarin de evaluatie én structuuraanpassing als gevolg van de nieuwe ISO27002. Het Directoraat-generaal Digitalisering en Overheidsorganisatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft adviesbureau Berenschot gevraagd de evaluatie uit te voeren.

“De deelnemers zien de meerwaarde in het feit dat met de BIO op uniforme wijze voldaan kan worden aan het gestelde minimumniveau van informatiebeveiliging en daarmee bijdraagt aan de beoogde beleidsdoelen.”

Beleidsdoelen BIO

Bij het opstellen van de BIO zijn vier hoofddoelen, ook wel beleidsdoelen genoemd, vastgesteld. Deze zijn als volgt geformuleerd en overgenomen uit de beschrijving van de opdracht voor de evaluatie:

  1. Het management in staat stellen om op basis van expliciete risicoafweging informatiebeveiligingsmaatregelen te kiezen, implementeren en uit te dragen.
  2. Voldoen aan specifieke wet- en regelgeving op het gebied van informatiebeveiliging.
  3. Veilige ketensamenwerking mogelijk maken met interne en externe partners.
  4. Fundamenteel beheer bieden.

Tijdens het onderzoek is gekeken in hoeverre de BIO bijdraagt aan deze beleidsdoelen en of deze beleidsdoelen nog relevant zijn:

  1. De BIO draagt bij aan het bereiken en versterken van het digitale fundament, maar wekt soms onterecht de ver­wachting bij bestuurders dat voldoen aan de BIO betekent dat de feitelijke informatieveiligheid van de organisatie op orde is.
  2. Daarnaast draagt de BIO (als kapstok) bij aan het beleidsdoel ‘het voldoen aan wet- en regelgeving’. De BIO maakt deels inzich­telijk voor bestuurders en het hoger management welke normen gelden.
  3. Ook biedt de BIO een goede basis en gezamenlijke taal voor het beleidsdoel samenwerking op het gebied van infor­matiebeveiliging in ketens (tussen overheidspartijen).
  4. Tot slot, draagt de BIO bij aan het bieden van fundamenteel be­heer vanuit een bredere benadering van dit onderwerp. Wel wordt van alle beleidsdoelen ‘fundamenteel beheer’ het minst herkend en meer beschouwd als een gegeven dat er een verband is tussen fundamenteel beheer en informatiebeveiliging. Het doelbereik is daarmee beperkt, maar dit is volgens de onderzoekers passend bij de aard van het beleidsdoel.

Kortom, de BIO als instrument (met de huidige beleidsdoelen) heeft toegevoegde waarde voor bestuurders en draagt in algemene zin bij aan (het bereiken van) de beoogde beleidsdoelen.

Analyse deel I – bestaansrecht BIO

In deel I van de evaluatie is met bestuurders en hoogambtelijke vertegenwoordigers van alle bestuurslagen gekeken naar de bestaansreden van de BIO. Hieruit blijkt dat er steun is voor de BIO als middel om informatieveiligheid te verhogen. De deelnemers zien de meerwaarde in het feit dat met de BIO op uniforme wijze voldaan kan worden aan het gestelde minimumniveau van informatiebeveiliging en daarmee bijdraagt aan de beoogde beleidsdoelen. Ook draagt de BIO bij aan de digitalisering van Nederland en het vertrouwen van de samenleving in de informatiebeveiliging binnen de overheid. En dat is niet alles. Naast het vergroten van het vertrouwen heeft de BIO ook een sterke bijdrage geleverd aan het op de politieke agenda krijgen van informatiebeveiliging binnen individuele organisaties en tussen de organisaties. Door de komst van de BIO is informatiebeveiliging zowel bij de ambtelijke top als op de bestuurlijke tafel meer onderwerp van gesprek geworden. Kortom, de bestaansreden van de BIO wordt door de vertegenwoordigers bevestigd.

Analyse deel II – verbetermogelijkheden

In dit deel van de evaluatie is gekeken naar verbetermogelijkheden die ervoor zorgen dat de BIO beter bijdraagt aan de beoogde doelen en in de praktijk beter toepasbaar is voor organisaties. Enkele verbetermogelijkheden die door bestuurders en hoogambtelijke vertegenwoordigers van alle bestuurslagen worden gegeven zijn:

  • Maak risicomanagement meer onderdeel van de BIO

Besteed in de eerste hoofdstukken van de BIO nadrukkelijk aandacht aan hóe risicomanagement gehanteerd moet worden bij de implementatie van de BIO, om op die manier invulling te geven aan het beleidsdoel.

  • Zet het ISMS meer centraal

Een goed Information Security Management Systeem (ISMS) draagt bij aan informatieveiligheid binnen organisatiebreed risicomanagement. Zet het ISMS dus meer centraal in de BIO en benadruk de bredere context.

  • Verander de beeldvorming waarbij de BIO wordt gezien als ‘afvinklijstje’

Voor bestuurders is in de beeldvorming rondom de BIO onvoldoende duidelijk dat feitelijke informatieveiligheid verder gaat dan het ‘afvinken’ van BIO-maatregelen. Dit vraagt meer dan een inhoudelijke wijziging van het normenkader en ligt vooral in het begrijpen van wat er in de volledige breedte (en dus breder dan de BIO) nodig is om goed invulling te geven aan informatiebeveiliging, inclusief de rol en betekenis van een normenkader daarbinnen.

  • Geef aan hoe een organisatie toezicht moet houden op leveranciers

Zowel voor samenwerkingen binnen als buiten de overheid geldt dat organisaties handvatten missen met betrekking tot hoe ze toezicht moeten houden op leveranciers. Zo zou het hebben van kennisproducten voor het vaststellen van de juiste inkoopeisen op het gebied van informatiebeveiliging nuttig zijn.

  • Breid de beleidsdoelen uit

Bestuurders hebben de wens om meer sturing te kunnen geven aan informatiebeveiliging. Het voorstel is daarom om het beleidsdoel ‘sturen op volwassenheid van organisaties’ op te nemen als aanvullend beleidsdoel en hier in de BIO 2.0 meer uitwerking aan te geven.
Hoe hoger het volwassenheidsniveau, hoe meer technologische en procesverbeteringen zijn doorgevoerd. En hoe verder een organisatie is, hoe beter het in staat is om detectie en herstel te optimaliseren.

  • Richt een passend stelsel van toezicht en handhaving in

De ervaren vrijblijvendheid is niet meer passend in het huidige stelsel en het bereiken van het beoogde doel. Door meer autoriteit en toezicht in te stellen op het gebied van informatiebeveiliging als ook door een wettelijke verankering (zoals beoogd in de Wet Digitale Overheid) kunnen we deze ervaren vrijblijvendheid wegnemen.

“Dus niet ‘de BIO op basis van de ISO’, maar juist omgedraaid: ‘de ISO aangevuld met een minimumbeveiligingsniveau bestaande uit specifieke overheidsmaatregelen’.”

Conclusies en aanbevelingen

Hoe moet beter/anders in de BIO versie 2.0?

De belangrijkste conclusie uit het onderzoek van Berenschot is dat de BIO een breed geaccepteerd en gemeenschappelijk normenkader is binnen de overheid en in opzet een erkende bestaansreden heeft. Ook draagt de BIO bij aan een gemeenschappelijke taal, waarmee veilige samenwerking in ketens binnen de overheid wordt versterkt. De aanbeveling is dan ook om als overheid een norm of minimumbeveiligingsniveau te blijven hanteren om informatieveiligheid te waarborgen bij de vormgeving van de digitale transitie in Nederland.

Organisatiebreed risicomanagement

Daarnaast is het belangrijk om te beseffen dat wijzigingen in de BIO alleen tot verbeteringen leiden als er ook aandacht is voor een aantal randvoorwaardelijke zaken, zoals ingebed risicomanagement. Want, informatiebeveiliging is onderdeel van breder (strategisch) risicomanagement. En daar ligt een belangrijke opgave voor veel organisaties. Het advies is daarom om ‘ingebed organisatiebreed risicomanagement’ meer centraal te zetten in de BIO als cruciale randvoorwaarde binnen een organisatie, in zowel de context van een ‘enterprise risicomanagement framework’ als tussen organisaties (‘vendor security management’). Zorg daarbij dat bestuurders hun verantwoordelijkheid pakken voor het organisatiebrede risicomanagement. Een framework als de Three Lines of Defense sluit hierbij goed aan en geeft organisaties richting in de interne controle en verantwoordelijkheden op orde te brengen.

Ook wordt er gesteld dat hoewel de BIO gebaseerd is op, en gestructureerd is volgens, de NEN-ISO/IEC 27002-standaard uit 2017 aangevuld met specifieke overheidsmaatregelen, de BIO niet als zodanig wordt ervaren. Het wordt gezien als eigen, opzichzelfstaand normenkader. Een aanbeveling hierin is om dit communicatief anders te brengen. Dus niet ‘de BIO op basis van de ISO’, maar juist omgedraaid: ‘de ISO aangevuld met een minimumbeveiligingsniveau bestaande uit specifieke overheidsmaatregelen’.

Veiligheidscultuur

Tot slot, is het belangrijk dat organisaties zich bewust zijn van het belang van informatiebeveiliging en dit ook onderdeel is van een veiligheid-of risicocultuur. Deze cultuur moet door het management worden uitgedragen en daarmee doorwerken naar de rest van de organisatie. Want, goed voorbeeld doet volgen. Een functionele en gezonde risicocultuur is daarbij zowel een randvoorwaarde (voor een volwassen en weerbare organisatie op informatiebeveiliging), een gevolg (van het zetten van stappen in volwassenheid en weerbaarheid), als een doel (om na te streven). Want, een functionele risicocultuur draagt op zijn beurt weer bij aan een weerbare organisatie.

Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.


Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl