VAN BIR naar BIO: Zo maak je de overstap naar de BIO-richtlijn

Van BIR naar BIO: op 1 januari 2020 moet iedere overheidsinstantie overstappen op de BIO norm.

Implementatie BIO
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Van BIR naar BIO? Vanaf 1 januari 2020 zijn alle overheidsinstanties, en organisaties die samenwerken met overheidsinstanties, verplicht om te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Deze nieuwe BIO-richtlijn komt in plaats van de huidige richtlijnen zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), BIR 2017, Baseline Informatiebeveiliging Gemeenten (BIG), de Baseline Informatiebeveiliging Waterschappen (BIWA) en de Interprovinciale Baseline Informatiebeveiliging (IBI). Met de komst van de BIO ontstaat er één gezamenlijk normenkader voor informatiebeveiliging binnen de overheid. In dit artikel vertellen we meer over de overgang van bestaande normen naar de BIO.

Implementatie van de BIO

De nieuwe BIO baseline overheid vervangt zoals gezegd de reeds bestaande normen voor Rijk, Gemeenten, Waterschappen en Provincies. Implementatie van de BIO kent voor elke overheidslaag een zelf opgesteld implementatiepad. Wanneer je als overheidsinstantie voldoet aan een bestaande richtlijn, zoals de BIR, BIG etc. dan heb je in 2019 een jaar lang de tijd om over te stappen op de BIO. Vanaf 1 januari 2020 is de BIO namelijk verplicht voor alle overheidsinstanties. Maar hoe pak je dat als overheidsorganisatie aan? Welke zaken dien je in te regelen om uiteindelijk te voldoen aan de nieuwe BIO-richtlijn?

Van BIR naar BIO: minder beheersmaatregelen

De BIO is gebaseerd op de actuele, internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 en heeft risicomanagement als uitgangspunt. Eén van de grootste wijzigingen die met de komst van de BIO daardoor plaatsvindt is dat er een stuk minder beheersmaatregelen zijn opgenomen dan in eerder gehanteerde normen op dit gebied. Alle beheersmaatregelen die in de BIO zijn opgenomen zijn echter wel verplicht voor alle overheden. De beheersmaatregelen uit de BIO komen grotendeels overeen met de Annex A van de ISO 27002 norm.

De BIO is een instrument om beheersmaatregelen gestructureerd in te voeren. Iedere beheersmaatregel moet afzonderlijk worden onderzocht en per informatiesysteem dient gekeken te worden of de maatregel passend is of dat er afgeweken wordt. Nieuw met de komst van de BIO is dat maatregelen toegewezen worden aan een eindverantwoordelijke. Informatiebeveiliging komt daardoor veel meer te liggen bij bestuurders en lijnmanagement en is zo verankerd in de bestuursverantwoordelijkheid van de organisatie.

De BIO maakt risicomanagement een stuk eenvoudiger

Doordat de BIO veel meer is gebaseerd op een risico-gebaseerde denkwijze wordt risicomanagement een stuk eenvoudiger. De essentie van risicomanagement zit hem namelijk in het voldoen aan het juiste BasisBeveiligingsNiveau (BBN) en de daarbij behorende relevante maatregelen. Binnen de BIO wordt onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Des te hoger het beveiligingsniveau, des te hoger de potentiële impact.

Het is zaak dat een organisatie bepaalt op welk (basis)niveau het informatiesysteem zich bevindt. Om die reden is er de ‘Quickscan Information Security’ (QIS) die je als organisatie kunt doorlopen. Aan de hand van deze Quickscan is het mogelijk om de BBN-toets uit te voeren om zo te bepalen op welk BasisBeveiligingsNiveau de organisatie zich bevindt. Nadat het BBN is bepaald kun je als overheidsinstantie in de BIO de controls (maatregelen) vinden. Het is zaak dat je bekijkt welke maatregelen passen bij de gemeentelijke organisatie.

De BIO wordt ook opgelegd aan dienstenleveranciers van de overheid. Om die reden is het van belang dat een overheid het juiste basisbeveiligingsniveau kiest. Bedrijven die leverancier zijn van de overheid zullen de BBN-eis op organisatieniveau of per informatiesysteem opgelegd krijgen. Als dat niveau te hoog is (BBN3) dan moeten er meer acties uitgevoerd worden op organisatorisch, technisch en fysiek vlak.

Van BIR naar BIO: Het implementeren

Naast bovenstaande implementatiestappen zijn er nog een aantal andere zaken van belang voor een goede overstap van eerdere normen zoals BIR naar BIO:

  • De eerste stap is dat er een informatiebeveiligingsbeleid wordt opgesteld, mocht dit nog niet het geval zijn;
  • Het beleid dient te passen bij de gemeentelijke cultuur en gedragen te worden door bestuurders en het lijnmanagement;
  • Het is zaak dat er een Information Security Management System (ISMS) wordt opgezet;
  • Informatiebeveiliging is een continu proces. Dat continu verbeterproces moet binnen de organisatie worden geborgd. Dat kan met behulp van de PDCA-cyclus.
  • Informatiebeveiliging is de verantwoordelijkheid van iedereen binnen de organisatie. Medewerkers moeten daarom bewust worden gemaakt van de risico’s van onveilig handelen.

In dit artikel is ingezoomd op het overstappen van een bestaande norm naar de nieuwe BIO. Daarbij is besproken wat de belangrijkste wijzigingen zijn met de komst van de BIO en verder is kort uiteengezet met welke zaken er allemaal rekening gehouden dient te worden bij implementatie van de BIO. Om jezelf als overheidsorgaan goed voor te bereiden op de verplichtingen vanuit de BIO is ons advies om zo snel mogelijk te starten met het in kaart brengen van het risicomanagement en het aanleren van de risico-gebaseerde denkwijze in de gehele organisatie.

Ondersteuning nodig bij de implementatie van de BIO?

CertificeringsAdvies Nederland adviseert en ondersteunt organisaties met het voldoen aan de Baseline Informatiebeveiliging Overheid. Wij bieden daarbij o.a. de volgende diensten aan:

  • Het uitvoeren van een Quickscan Information Security (QIS);
  • Het uitvoeren van de BBN-toets;
  • Het opstellen van een concreet actieplan;
  • Het uitvoeren van een interne audit op het gehele ISMS en de beheersmaatregelen.

Wil je eens sparren? Ben je benieuwd naar de mogelijkheden? Neem dan gerust contact met ons op! Eén van onze informatiebeveiligingsadviseurs staat je graag te woord!

NEEM CONTACT OP

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

  • Altijd een oplossing op maat
  • Jouw organisatie als uitgangspunt
  • Snel, pragmatisch en persoonlijk

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields