De BIO2 is er! Wat verandert er écht voor de overheid?

    - - / 5 November 2025

    Na jaren van voorbereiding is de Baseline Informatiebeveiliging Overheid 2 (BIO2) op 24 september 2025 officieel vastgesteld. De BIO2 is niet slechts een actualisering van het oude normenkader, maar een grondige herziening die de basis legt voor een toekomstbestendige, risicogedreven aanpak van cyberweerbaarheid binnen de publieke sector.

    Voor bestuurders en senior management betekent dit concreet: informatiebeveiliging verschuift van een primair technisch vraagstuk naar een strategische bestuursverantwoordelijkheid. De vraag is niet langer of organisaties moeten investeren in digitale weerbaarheid, maar hoe dat op de juiste manier gebeurt.

    Waarom de BIO2 ertoe doet

    De overheid vervult een unieke rol in de samenleving. Burgers en bedrijven zijn vaak verplicht informatie met de overheid te delen en zijn afhankelijk van overheidsdiensten voor essentiële processen. Die afhankelijkheid brengt een bijzondere verantwoordelijkheid met zich mee: de plicht om zorgvuldig om te gaan met informatie en de continuïteit van dienstverlening te waarborgen.

    De BIO2 is het instrument waarmee de overheid die zorgplicht invult. Het kader bepaalt hoe overheidsorganisaties vormgeven aan hun verplichtingen onder de Cyberbeveiligingswet (Cbw) en de Nederlandse implementatie van de NIS2-richtlijn. Maar de BIO2 gaat verder dan wettelijke compliance. Het biedt alle overheidslagen - Rijk, provincies, waterschappen en gemeenten, een gemeenschappelijke taal en gedeeld ambitieniveau voor informatiebeveiliging.

    De kernveranderingen

    • Aansluiting op internationale standaarden: De BIO2 volgt de structuur van ISO/IEC 27001, waardoor de overheid aansluit bij wereldwijd erkende best practices.
    • Afscheid van BBN's: De eerdere indeling in drie Basisbeveiligingsniveaus (BBN1, BBN2, BBN3) vervalt. In plaats daarvan introduceert de BIO2 een expliciet risicogedreven benadering, waarbij organisaties maatregelen afstemmen op hun specifieke context en dreigingen.
    • Juridische verankering via de Cbw: Tot de Cbw in werking treedt, geldt de BIO2 als verplichtende zelfregulering. Daarna wordt het via de wet het juridische referentiekader voor de zorgplicht van overheidsorganisaties.
    • Bestuursverantwoordelijkheid voorop: Bestuurders staan nadrukkelijk aan het roer en moeten aantoonbaar beschikken over voldoende kennis en vaardigheden om cyberrisico's te kunnen overzien.
    • Transparantie en verantwoording: Publicatie van de reikwijdte (scope) van het Information Security Management System (ISMS) en de Verklaring van Toepasselijkheid (VvT) wordt verplicht.

    Van kader naar fundament: de opbouw van de BIO2

    De BIO2 heeft een logische opbouw in drie delen:

    Deel 1: BIO2-kader beschrijft de context waarin overheidsorganisaties opereren, de doelstellingen van het normenkader en de verplichtingen die eruit voortvloeien. Dit deel legt de basis: het belang van informatiebeveiliging voor de overheid, hoe risicomanagement werkt en welke rol bestuurders, CISO's en lijnmanagement spelen.

    Deel 2: BIO-overheidsmaatregelen bevat de concrete, verplichte maatregelen die minimaal gelden voor alle organisaties binnen de sector Overheid. Deze maatregelen zijn afgestemd op ISO/IEC 27001 bijlage A, maar aangevuld met specifieke extra eisen voor overheidsorganisaties.

    Deel 3: Toelichting wordt gefaseerd gepubliceerd via bio-overheid.nl en biedt praktische handvatten: voorbeelden, use cases, implementatietips en verduidelijkingen bij complexe maatregelen.

    Het nieuwe fundament: basishygiëne, ketenhygiëne en overheidsrisico's

    Een van de vernieuwingen in de BIO2 is de introductie van drie typen maatregelen die gezamenlijk het fundament vormen van overheidsbrede informatiebeveiliging.

    Basishygiëne vormt het absolute minimum. Elke overheidsorganisatie moet deze maatregelen implementeren, ongeacht omvang, type of risicoprofiel. Denk aan multi-factor authenticatie (MFA), adequate logging, effectief incidentbeheer, tijdig patchmanagement en periodieke evaluaties of audits. Deze maatregelen zijn ook de basis om te voldoen aan de eisen uit NIS2/Cbw.

    Ketenhygiëne richt zich op de samenwerking met leveranciers en de beheersing van ketenrisico's. Overheidsorganisaties blijven zelf verantwoordelijk voor de beveiliging, ook als zij diensten of producten inkopen. Ketenhygiëne betekent: contractuele eisen stellen aan leveranciers, zicht houden op subleveranciers, periodieke toetsing van naleving en transparantie over kwetsbaarheden en incidenten.

    Overheidsrisico's gaan verder dan financiële impact. Voor de overheid kunnen informatiebeveiligingsincidenten leiden tot politiek gezichtsverlies, verlies van vertrouwen bij burgers, diplomatieke schade en verstoring van publieke dienstverlening.

    Bestuurders in de hoofdrol: van delegatie naar directe verantwoordelijkheid

    Een duidelijke verschuiving in de BIO2 is de focus op bestuursverantwoordelijkheid. Waar informatiebeveiliging lang werd gezien als een IT-vraagstuk dat kon worden gedelegeerd, maakt de BIO2 helder: het bestuur is eindverantwoordelijk voor passende technische, organisatorische en operationele maatregelen.

    Dat brengt concrete verplichtingen met zich mee. Bestuurders moeten aantoonbaar voldoende kennis en vaardigheden hebben om cyberrisico's te kunnen overzien en strategische keuzes te maken. Dit vraagt om periodieke scholing. Niet als formaliteit, maar als noodzakelijke investering in bestuurlijke weerbaarheid.

    De CISO krijgt daarbij een onafhankelijke advies- en rapportagerol. Hij of zij moet het bestuur gevraagd en ongevraagd kunnen adviseren, zonder belangenverstrengeling. Lijnmanagers zijn op hun beurt verantwoordelijk voor de operationele uitvoering en het beheer van de informatiesystemen waarvoor zij eigenaar zijn. Deze heldere rolverdeling voorkomt dat verantwoordelijkheden vertroebeld raken.

    Transparantie als nieuwe norm

    Burgers moeten de overheid kunnen vertrouwen. Dat vertrouwen wordt mede gevoed door transparantie over hoe de overheid omgaat met informatiebeveiliging. De BIO2 verplicht daarom publicatie van twee documenten:

    1. De reikwijdte van het ISMS: welke bedrijfsprocessen en informatiesystemen vallen onder het managementsysteem voor informatiebeveiliging?
    2. De Verklaring van Toepasselijkheid (VvT): welke maatregelen zijn geïmplementeerd, en welke zijn (gemotiveerd) niet van toepassing?

    Deze transparantieverplichting stelt burgers, ketenpartners en toezichthouders in staat om te beoordelen hoe serieus een organisatie informatiebeveiliging neemt.

    Aantoonbaarheid: van papier naar praktijk

    "We hebben een beleid" is niet langer voldoende. De BIO2 vraagt om aantoonbaarheid van opzet, bestaan en werking van maatregelen. Organisaties moeten kunnen aantonen dat hun beveiligingsmaatregelen niet alleen op papier staan, maar ook daadwerkelijk functioneren in de praktijk.

    Passende instrumenten hiervoor zijn interne audits, self-assessments, penetratietesten en red-team-oefeningen. Deze toetsingen geven inzicht in de effectiviteit van maatregelen en bieden aanknopingspunten voor continue verbetering. Voor internetfacing-systemen geldt bijvoorbeeld dat bij elke nieuwe release of major update een penetratietest verplicht is. Komen daaruit bevindingen met een hoog risico die niet anderszins gemitigeerd kunnen worden, dan mag het systeem niet in productie.

    Toezicht en verantwoording

    Binnen de sector Overheid treedt de Rijksinspectie Digitale Infrastructuur (RDI) op als toezichthouder in het kader van de Cyberbeveiligingswet. De RDI toetst of organisaties voldoen aan hun zorgplicht en of het ISMS, inclusief de verplichte overheidsmaatregelen, naar behoren functioneert.

    De BIO2 verplicht geen ISO 27001-certificering, maar een dergelijke certificering kan wel bijdragen aan het vereenvoudigen van verantwoording. Een certificaat van een onafhankelijke auditor toont aan dat een organisatie in staat is informatiebeveiliging procesmatig uit te voeren. Dit kan het toezichtproces vergemakkelijken en het vertrouwen van ketenpartners versterken.

    De rol van leveranciers: van inkoop naar risicobeheersing

    Overheidsorganisaties zijn in toenemende mate afhankelijk van externe leveranciers voor hun informatievoorziening. Die afhankelijkheid brengt risico's met zich mee. Deze risico's moet de organisatie zelf beheersen, ook al vindt de dienstverlening plaats buiten de eigen muren.

    De BIO2 stelt daarom expliciete eisen aan leveranciersmanagement. Bij offerteaanvragen waar informatieverwerking een rol speelt, moeten informatiebeveiligingseisen (beschikbaarheid, integriteit, vertrouwelijkheid) onderdeel zijn van het totale pakket aan inkoopeisen. Deze eisen worden vervolgens expliciet opgenomen in de contracten.

    Maar het houdt daar niet op. Leveranciers moeten jaarlijks aantonen dat zij voldoen aan alle gestelde eisen, in opzet, bestaan en werking, op basis van onderzoeken door onafhankelijke derden. Daarbij is expliciet aandacht voor de toeleveringsketen: welke subleveranciers worden ingezet, en hoe borgt de leverancier dat ook díe partijen voldoen aan de beveiligingseisen?

    De overheidsorganisatie voert daarnaast zelfstandig onderzoek uit, ook ter validatie van de rapportages die de leverancier aanlevert. Contractueel moet de mogelijkheid voor externe audits worden vastgelegd. En voordat een contract wordt afgesloten, moet een risicoafweging uitwijzen of de afhankelijkheid van een leverancier beheersbaar is, inclusief een expliciete uitwerking van de exit-strategie.

    Praktisch aan de slag: van analyse naar actie

    De implementatie van de BIO2 vraagt om een gestructureerde aanpak. Begin niet met het lukraak doorvoeren van maatregelen, maar volg een doordacht pad dat start bij inzicht en leidt naar concrete verbetering.

    Start met een gap-analyse. Gebruik hiervoor bijvoorbeeld de BIO Self Assessment, een instrument dat niet alleen laat zien welke maatregelen ontbreken, maar ook de volwassenheid van de huidige informatiebeveiliging meet. Download daarnaast de BIO2 in Excel-formaat voor een werkbaar overzicht van alle verplichte overheidsmaatregelen. Door systematisch beide instrumenten te doorlopen ontstaat een helder beeld: waar staat de organisatie nu en welke afstand moet worden overbrugd? Betrek bij deze analyse nadrukkelijk de proceseigenaren, zij kennen de praktijk en moeten straks met de maatregelen werken.

    Implementeer een risicomanagement strategie. Wacht hier niet mee tot alle maatregelen zijn doorgevoerd, maar begin direct. Bepaal eerst de context van de organisatie, identificeer vervolgens de risico's, analyseer deze op waarschijnlijkheid en impact en selecteer passende beheersmaatregelen. Kies hiervoor een methodiek die past bij de organisatie. Dit is geen eenmalige exercitie maar een doorlopend proces dat de basis vormt voor alle verdere keuzes.

    Werk planmatig aan implementatie. De uitkomsten van de gap-analyse en risicoanalyse bepalen waar te beginnen. Organisaties kiezen vaak voor quick wins die direct de veiligheid verbeteren, zoals het invoeren van multi-factor authenticatie of het verbeteren van patchmanagement. Andere organisaties pakken eerst de hoogste risico's aan. Wat de aanpak ook wordt, zorg voor een realistisch implementatieplan met heldere mijlpalen. Bedenk dat de implementatie van de BIO2 geen sprint is maar een marathon.

    Van verplichting naar strategische kans

    De BIO2 vraagt serieuze inspanning; geen enkele organisatie kan dit 'even tussendoor' regelen. Maar de investering levert meer op dan alleen compliance met wet- en regelgeving. Door informatiebeveiliging structureel te verankeren in strategie, processen en cultuur, groeit de weerbaarheid op een duurzame manier. Organisaties die de BIO2 serieus nemen, bouwen niet alleen aan betere beveiliging, maar ook aan een cultuur waarin risicobewustzijn en verantwoordelijkheid vanzelfsprekend zijn.

    Het doel van de BIO2 is niet vinkjes zetten in een checklist. Het doel is vertrouwen versterken: vertrouwen in de systemen waarop de overheid draait, vertrouwen in de samenwerking met ketenpartners en vertrouwen van burgers in de digitale overheid.

    Wat is de volgende stap?

    Veel organisaties worstelen met de vraag waar ze moeten beginnen en hoe ze prioriteiten moeten stellen. Wij helpen overheidsorganisaties om de BIO2-verplichtingen te vertalen naar concrete acties; van gap-analyse tot praktische kennissessies over governance, risicomanagement en implementatie.

    Heeft jouw organisatie hier hulp bij nodig? Neem dan gerust contact met ons op!

    Contact opnemen
    Terug naar overzicht

    Jord Franse

    Information Security Consultant
    Lees meer
    Blog CTA - algemeen

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram