Stand van zaken BIO2.0

16-03-2023
Bij de vaststelling van de BIO is afgesproken dat hij in 2023 wordt geëvalueerd. De evaluatie is vervroegd naar 2022, door de komst van een 2022-versie van ISO 27002, zodat er maar één keer een nieuwe BIO-versie hoeft te worden vastgesteld. In de BIO2.0 komen de BIO-evaluatie (als richting voor het herschrijven van de BIO) en de structuuraanpassing (vanwege de nieuwe ISO 27002) tezamen. Het rapport Evaluatie Baseline Informatie beveiliging Overheid (BIO) is in november 2022 opgeleverd. De evaluatie heeft opgeleverd dat de BIO een belangrijk instrument is waarin we blijven investeren. De handreiking indeling BIO v1.0.4zv aan ISO/IEC 27002:2022, waarin de BIO-control en -overheidsmaatregelen zijn omgenummerd naar de controlnummers van de ISO/IEC 27002:2022, is vlak na de komst van deze ISO-standaard in januari 2023 beschikbaar gekomen.

Door de komst van de NIS2 is de geplande opleverdatum van de BIO2.0 veranderd. In de Kamerbrief Voortgang informatieveiligheid bij de overheid van februari 2021 staat dat het streven is om informatieveiligheid bij de overheid een wettelijke basis te geven. De staatssecretaris Digitalisering wil dit doen via een zorgplicht waaraan nadere regels kunnen worden gesteld, zoals de BIO (zie de kamerbrief Generiek kader voor vitale digitale processen van de overheid van 29 september 2022).
In de Wbni zal de BIO wettelijk verankerd gaan worden. De Wbni is de omzetting van de NIS2 (Europese richtlijn) in nationale wetgeving. De NIS2 kent een bredere reikwijdte. De overheid valt ook onder de NIS2. De omzetting van de NIS2 vindt op dit moment plaats. Hiervoor geldt een implementatietermijn van 21 maanden. Oktober 2024 treedt de Wbni in werking, waarin de BIO op dat moment wettelijk verankerd zal zijn.

Om niet te wachten tot 2024 op een nieuwe versie van de BIO werkt de werkgroep BIO aan een handreiking de BIO2.0-opmaat. Hierin worden alle goedgekeurde BIO-wijzigingsformulieren verwerkt. Ook de maatregelen die niet meer voldoen aan de huidige dreigingen krijgen een actualisatie. Daarnaast worden de maatregelen in lijn gebracht met de laatste ISO 27002-versie: NEN-EN-ISO 27002:2022. De huidige handreiking is namelijk gebaseerd op de ISO/IEC 27002:2022. Naar verwachting is deze handreiking juli 2023 gereed. Hij laat zien welke kant de huidige BIO opgaat.
Nu de voorgenomen doorontwikkeling van de BIO naar de BIO2.0 vanwege de wettelijke verankering van de NIS2 is getemporiseerd, worden de aan de BIO2.0 gerelateerde producten opnieuw geprioriteerd en in een lager tempo aangepast, zodat bij de implementatie van de BIO2.0 in oktober 2024 gelijktijdig de aanpalende producten kunnen worden opgeleverd.

De betekenis van Wbni (NL) en NIB (EU) voor aanbieders binnen de overheid

23-01-2023
Dit document beschrijft de betekenis voor de overheid en in het bijzonder de BIO van de NIB en de uitwerking ervan in de Wbni. Er wordt onderscheid gemaakt bij de inhoud van de verplichtingen tussen verschillende categorieën van aanbieders. Ook worden die categorieën beschreven. Daarbij wordt als achtergrondinformatie uitleg gegeven over de wijze van toezicht, handhaving, controle en de ondersteuning aan aanbieders op nationaal en Europees niveau.

Evaluatie Baseline Informatieveiligheid Overheid

23-01-2023
Bij de vaststelling van de BIO is afgesproken dat hij in 2023 wordt geëvalueerd. De evaluatie is vervroegd naar 2022 door de komst van de nieuwe ISO 27002, zodat in 2023 een vernieuwde BIO 2.0 kan worden opgeleverd, waarin de evaluatie alsook de structuuraanpassing als gevolg van de nieuwe ISO 27002 worden meegenomen. Het evaluatierapport bevat de resultaten van de evaluatie en is richtinggevend voor het feitelijk herschrijven van de BIO.

Onderzoek sturen op informatieveiligheid

23-01-2023
In 2022 is een onderzoek uitgevoerd naar de wijze waarop andere grote (commerciële) organisaties sturing geven aan informatieveiligheid. De lessen die hieruit te trekken zijn, zijn input geweest bij het bestuurlijke deel van de evaluatie van de BIO. De lessen zijn ook input voor het verbeteren van het IB-stelsel binnen de overheid.

Wettelijke basis van de BIO

13-01-2023
In 2021 is in de Kamerbrief Voortgang informatieveiligheid bij de overheid door Raymond Knops (voormalig staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties) aangegeven dat het streven is om naar een wettelijke basis van de BIO in de Wet digitale overheid (Wdo) te komen.
Het ministerie van BZK heeft in 2022 onderzocht op welke wijze informatieveiligheid een plaats moet krijgen in een volgende tranche van de Wdo. De noodzaak daarvoor is uit het eindrapport Onderzoek wetgevingskader informatieveiligheid duidelijk naar voren gekomen: veel specifieke informatieprocessen van de overheid kennen informatieveiligheidswet- en regelgeving die onderling vergelijkbare algemene informatieveiligheidseisen stellen, die min of meer overeenkomen met de BIO.
Met het verplichten van de BIO wil de huidige staatssecretaris Alexandra van Huffelen informatieveiligheid bij de overheid een wettelijke basis geven. Dat schrijft zij in de Kamerbrief Generiek kader voor vitale digitale processen van de overheid van eind september 2022.

Impact nieuwe ISO 27002 op BIO

15-12-2022
Begin 2023 wordt naar verwachting de nieuwe ISO 27002 geïntroduceerd. Aangezien de BIO is gebaseerd op deze norm, verwachten we dat de BIO aanpassing zal behoeven. VKA heeft in opdracht van het ministerie van BZK een onderzoek uitgevoerd naar de impact van de komende ISO 27002-wijzingen op de huidige BIO en de verdere implementaties daarvan, alsmede de globale consequenties voor de verschillende bestuurslagen binnen de overheid.

Snel practices vinden

10-12-2021
Snel te weten komen welke practices kunnen helpen met het implementeren van de BIO? Klik op de link hiernaast om die eenvoudig te kunnen vinden.

Forum BIO

10-12-2021
Actuele gesprekken, vragen en antwoorden over de BIO lees je ook op het Forum BIO op CIP Pleio.nl. Hiernaast vind je de link naar het forum BIO. Let op: om CIP.Pleio.nl te kunnen raadplegen heb je een account nodig, ben jij nog geen lid van CIP.Pleio, gebruik dan deze link om lid te worden van CIP.Pleio.

Basismaatregelen websites

10-12-2021
Controleer met behulp van de links hiernaast hoe compleet jouw website is uitgerust met basisbeveiligingsmaatregelen en in hoeverre veilige internetstandaarden zijn toegepast.

Cybersecurity woordenboek

10-12-2021
Het cybersecurity woordenboek legt zo’n 650 cybersecurity termen uit in begrijpelijke taal. Dit woordenboek is ontwikkeld met ruim 70 organisaties (waaronder CIO Rijk) in Nederland en in samenwerking met de Cybersecurity Alliantie. Met het woordenboek kunnen gebruikers van cybersecuritydiensten makkelijker met specialisten het gesprek aangaan, technische rapporten en adviezen begrijpen en offertes beoordelen.