Baseline Informatiebeveiliging Overheid: op weg naar de BIO2.0
Door de wijzigingen in ISO 27001 en ISO 27002 in 2022 wordt er nu gewerkt aan een vernieuwde versie van de Baseline Informatiebeveiliging Overheid. Eind 2024 wordt de BIO2.0 geïntroduceerd.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlInformatiebeveiliging vormt een belangrijk kwaliteitsaspect van de informatiebeveiliging van de overheid. Dit is een continu proces waarbij de PDCA (plan-do-check-act) cyclus wordt doorlopen. De Baseline Informatiebeveiliging Overheid (BIO) helpt de overheid bij het nemen van haar verantwoordelijkheid met het oog op informatiebeveiliging. Het ingewikkelde proces van risicomanagement wordt met behulp van de BIO minder complex. In de BIO zijn namelijk een aantal BBN’s beschreven, ofwel Basisbeveiligingsniveaus gedefinieerd met bijbehorende eisen die moeten worden ingevuld.
Wat is de Baseline Informatiebeveiliging Overheid (BIO)?
Kort samengevat is de BIO:
- Een gemeenschappelijk normenkader, gebaseerd op de internationale normen ISO 27001 en ISO 27002 voor de beveiliging van de informatie(systemen) van de overheid.
- Een concretisering van een aantal normen naar concrete maatregelen die verplicht door alle bestuurslagen moeten worden nageleefd.
De historie van de BIO
De BIO heeft per 1 januari 2019 haar intrede gedaan, is gebaseerd op de actuele, internationale standaard voor informatiebeveiliging NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 en heeft risicomanagement als uitgangspunt.
Met de komst van de BIO is één gezamenlijk normenkader voor informatiebeveiliging binnen de overheid (Rijk, gemeenten, provincies, waterschappen) ontstaan. Per 1 januari 2020 is het verplicht om te werken volgens de BIO in iedere overheidslaag. Zoals bij ieder goed managementsysteem is de prestatie van de organisatie afhankelijk van de keten. Implementatie van de BIO is de eigen verantwoordelijkheid van overheidsorganisaties zelf.
Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Des te hoger het niveau, des te hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem van een organisatie zich bevindt, biedt de BIO een Quickscan Information Security (QIS). Aan de hand van de QIS kun je vervolgens de BNN-toets uitvoeren.
Voordelen van het gebruik van één normenkader binnen de gehele overheid:
- Versterken van informatiebeveiliging door betere afstemming binnen ketens van overheden en andere partijen;
- Uniforme beveiligingsnormen bieden administratieve lastenverlichting;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
De komst van ISO 27002:2022 en ISO 27001:2022
Informatiebeveiligingsstandaarden ISO 27001 en ISO 27002 zijn geplaatst op de pas toe of leg uit lijst van het Forum Standaardisatie. Op die lijst wordt de verhouding tussen de ISO -standaard 27001 en 27002 met de BIO uitgelegd. Op specifieke maatregelen geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen.
In februari 2022 is de nieuwe versie van de ISO 27002 gepubliceerd, de ISO 27002:2022.
En in het vierde kwartaal van 2022 is de nieuwe versie van ISO 27001 gepubliceerd, de ISO 27001:2022.
De ISO 27002 vormt de basis voor de Annex A van de ISO 27001 norm. De norm bevat praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. Ook de BIO is gekoppeld aan de ISO 27001 en ISO 27002 normen. Vanzelfsprekend moeten de wijzigingen van 2022 uit ISO 27002 in meer of mindere mate overgenomen worden.
BIO 2.0 eind 2024 van kracht
Om die reden wordt er momenteel gewerkt aan de BIO2.0, welke naar verluidt eind 2024 van kracht zal worden. Tot die tijd wordt er gewerkt met een handreiking BIO 2.0 Op Maat (zie overheid). Daarin is de indeling van de controls, doelstellingen en overheidsmaatregelen in deel 2 van de BIO in lijn gebracht met de 2022-versie van ISO 27002. Simpel gezegd is door de handreiking al te zien welke kant de BIO2.0 uitgaat. In de handreiking:
- Staan tekstuele wijzigingen;
- Is een aantal overheidsmaatregelen geactualiseerd in lijn met nieuwe dreigingen (ransomware);
- Wordt geanticipeerd op aanpassingen die in de BIO2.0 worden doorgevoerd.
Ondertussen is de NIS2-wetgeving in werking getreden en in het verlengde daarvan zal de NIB2 (de Nederlandse wetgeving) van kracht gaan worden. Om die reden is begin 2023 besloten de oplevering van de BIO2.0 te koppelen aan de wetgeving die uit de NIB2 volgt, wat inhoudt dat de BIO2.0 oktober 2024 van kracht zal worden.
Analyse mapping NIS2 en BIO (Baseline Informatiebeveiliging Overheid)
De digitale overheid heeft een analyse uitgebracht waarin een aanzet wordt gedaan met het oog op de maatregelen die in de NIS 2 expliciet genoemd worden in relatie tot of deze verplicht/optioneel/situationeel zijn, en hoe deze zich verhouden tot de NEN-EN-ISO/IEC 27002 (nl). De inventarisatie is geen beoordeling of en op welke punten met de huidige BIO invulling wordt gegeven aan de NIS 2.
Meer informatie of ondersteuning nodig?
Wil je meer weten over de ontwikkelingen rondom de BIO2.0? Of ben je op zoek naar advies en/of ondersteuning bij de implementatie van de Baseline Informatiebeveiliging Overheid? Neem dan gerust contact met ons op. Wij helpen je graag op weg.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlMeer weten over de BIO2.0?
Wij helpen je op weg!
- Praktische tips
- Alles op een rij
- Snel contact