Coauteur: Patrick Gelders
Als overheidsorganisatie of als organisatie die veel samenwerkt met de overheid kan je er eigenlijk niet omheen... de Baseline Informatiebeveiliging Overheid (BIO). Overheidsinstanties stellen namelijk steeds vaker verplicht dat een organisatie moet voldoen aan de BIO als zij met de overheid willen samenwerken. In deze blog zetten wij uiteen wat de BIO is en welke veranderingen eraan zitten te komen.
Wat is de BIO?
De BIO is een Nederlandse standaard voor informatiebeveiliging bij overheidsorganisaties. Overheidsorganisaties op verschillende niveaus in Nederland, waaronder het Rijk, gemeenten, provincies en andere publieke lichamen, zijn doorgaans verplicht de BIO te volgen. De specifieke verplichtingen kunnen variëren afhankelijk van de omvang, de functie en het soort gegevens van de organisatie. Hiermee dient de BIO als een reeks standaarden om overheidsinstanties en organisaties in Nederland te helpen informatiebeveiligingsmaatregelen effectief vast te stellen en te handhaven.
Voordelen van de BIO
Het gebruik van één normenkader voor de gehele overheid biedt de volgende voordelen:
- Versterking van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting;
- Aansluiting bij internationale regelgeving en standaarden; en
- Vermindering van onderhoudskosten.
Verwantschap met ISO27001
De BIO heeft als uitgangspunt risicomanagement en is in grote lijnen geharmoniseerd met de ISO 27001:2017 en ISO/IEC 27002:2017. Dit zijn de internationaal erkende informatiebeveiligingsnormen. Organisaties die moeten voldoen aan de BIO gebruiken daarom vaak deze ISO-normen als basis en passen dit aan de specifieke BIO-eisen aan. Alhoewel de BIO in grote lijnen is geharmoniseerd met de ISO-normen, is het wel belangrijk op te merken dat er ook specifieke eisen en nuances in de BIO voorkomen die zijn afgestemd op de behoeften van en regelgeving voor overheidsorganisaties in Nederland. Zo vereist de BIO bijvoorbeeld dat er aansluiting is bij een klokkenluidersregeling, zodat iedereen anoniem en veilig beveiligingsissues kan melden. (artikel 7.2.1.1 Bio versie 1 2019).
Gevolgen van niet-naleving
Het niet naleven van de BIO kan ernstige gevolgen hebben. De samenleving kan als geheel getroffen worden, met potentiële risico’s voor de privacy, de openbare dienstverlening en de algemene veiligheid, maar voor de overheid of organisaties kunnen er ook juridische, financiële, reputatie en operationele gevolgen zijn, zoals:
- Het niet naleven van de BIO kan resulteren in juridische sancties, zoals boetes, als dit leidt tot datalekken of overtredingen van de wetgeving inzake gegevensbescherming;
- Organisaties kunnen financieel verantwoordelijk worden gehouden voor de kosten die verband houden met datalekken, inclusief onderzoeken, meldingen en mogelijke compensatie voor getroffen personen;
- Het niet-naleven kan de reputatie van een organisatie schaden, waardoor het vertrouwen van het publiek wordt aangetast; en
- Overheidsorganisaties die niet aan de BIO-vereisten voldoen, komen mogelijk niet in aanmerking voor bepaalde overheidscontracten of partnerschappen.
Daarom is het van cruciaal belang dat organisaties prioriteit geven aan informatiebeveiliging en zich houden aan de BIO om deze risico's te beperken en hun verantwoordelijkheden jegens burgers en belanghebbenden na te komen.
Een nieuwe BIO, de BIO 2.0.
Bij de vaststelling van de BIO is afgesproken dat deze in 2023 wordt geëvalueerd. De evaluatie is vervroegd naar 2022, door de komst van een nieuwe versie van ISO/IEC 27001:2022 en 27002:2022, zodat er maar één keer een nieuwe BIO-versie hoeft te worden vastgesteld. Door de komst van NIS2 is de geplande wijzigingsdatum van de BIO2.0 aangepast.
Het doel is om informatiebeveiliging bij de overheid een wettelijke basis te geven. Dit wil de Staatssecretaris van Digitalisering doen door de BIO wettelijk te verplichten en een zorgplicht voor informatieveiligheid bij de overheid neer te leggen. Het is dus de bedoeling dat de BIO wordt verankerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Er wordt momenteel gewerkt aan een aanpassing van de Wbni, om NIS2 te vertalen naar nationale wetgeving. Eind 2024 moet de aangepaste Wbni in werking treden, waarin de verwachting is dat dan o.a. de BIO2.0 juridisch verankerd wordt.
Wat gaat er veranderen?
Omdat de BIO2.0 pas eind 2024 in werking treedt, is op 1 juni 2023 de BIO2.0-richtlijn uitgebracht. In deze richtlijn is de indeling van de controles, doelstellingen en overheidsmaatregelen in de BIO2.0 vastgelegd en is hiermee in lijn gebracht met de ISO/IEC 27001:2022. Naast tekstuele wijzigingen zijn ook een aantal overheidsmaatregelen geactualiseerd vanwege innovatie en nieuwe dreigingen, zoals het omgaan met clouddiensten en ransomware. Overheidsorganisaties en organisaties die met de overheid werken doen er goed aan om al voorbereidende stappen te zetten. Ze kunnen bijvoorbeeld alvast aan de slag gaan met ISO 27001:2022, zodat er alleen nog een enkele aanvullingen gedaan hoeven te worden op het moment dat de BIO2.0 is vastgesteld.
Hoe helpen wij jou verder?
Compliant zijn aan de BIO is geen eenmalige inspanning. Het is een voortdurend proces dat waakzaamheid en aanpassing vereist door ontwikkelende veiligheidsbedreigingen en veranderingen in de regelgeving. ICTRecht kan jouw organisatie helpen met compliance door, onder andere:
- Nulmeting: kijk waar jouw organisatie momenteel staat t.o.v. de BIO standaard en welke stappen er nog gezet moeten worden om compliant te zijn met de BIO.
- Implementatiewerkzaamheden: het uitwerken van beleid of procedures m.b.t. informatiebeveiliging of het uitvoeren van risicoanalyses en andere werkzaamheden.
- Interne audits: controleren of het informatiebeveiligingsmanagementsysteem conform de BIO is.
