BIO (Baseline Informatiebeveiliging Overheid)

De Baseline Informatiebeveiliging Overheid is per 1 januari 2019 verplicht en vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, BIR en IBI.

De BIO is:

• een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid;
• een afgeleide van de BIR (Baseline Informatiebeveiliging Rijksdienst) 2017;
• een concretisering van een aantal normen tot verplichte overheidsmaatregelen.

Elke bestuurslaag heeft besloten de bestaande eigen baseline voor informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG (Baseline Informatiebeveiliging Gemeenten), BIR (Baseline Informatiebeveiliging Rijksdienst), BIWA (Baseline Informatiebeveiliging Waterschappen) en IBI (Interprovinciale Baseline Informatiebeveiliging).

Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen.

Een actuele PDF-versie van de BIO is ontsloten op cip-overheid.nl en bio-overheid.nl.
Een actuele versie van de Excel-variant, een overzicht met alleen BIO-maatregelen en BIO-controls is te bekijken en downloaden op bio-overheid.nl. Daar zijn ook de meest gestelde vragen over de BIO te raadplegen.

Handreiking BIO2-opmaat

In de Kamerbrief Voortgang informatieveiligheid overheid van 18 maart 2021 staat dat het streven is om informatieveiligheid bij de overheid een wettelijke basis te geven. De staatssecretaris Digitalisering wil dit doen via een zorgplicht waaraan nadere regels kunnen worden gesteld, zoals de BIO (zie Kamerbrief Generiek kader voor vitale digitale processen van de overheid van 29 september 2022).

Eind 2022 trad de herziene Netwerk- en informatiebeveiligingsrichtlijn (NIB2) in werking. Deze Europese richtlijn moet binnen 21 maanden in nationale wetgeving, de Cyberbeveiligingswet (Cbw), worden omgezet. De BIO2 zal aan de Cbw worden gekoppeld, waardoor de BIO2 naar verwachting in oktober 2024 in werking treedt.

In afwachting hiervan is in 2022 besloten om een handreiking op te stellen. Deze maakt duidelijk welke BIO-overheidsmaatregelen geactualiseerd moeten worden, om een aantal nieuwe dreigingen het hoofd te kunnen bieden. Hoewel deze handreiking geen formele status heeft, wordt overheidsorganisaties sterk aanbevolen om de aanpassingen door te voeren. Dit verhoogt niet alleen de feitelijke veiligheid, maar bereidt organisaties ook voor op de komende aanpassingen in de BIO2.

→ Handreiking BIO2-opmaat

Hulpbronnen voor BIO-toepassing in de praktijk

Het CIP (Centrum Informatiebeveiliging en Privacybescherming) ontwikkelt in samenwerking met het ministerie van BZK de zogenaamde BIO Thema-uitwerkingen, die voor een bepaald onderwerp een praktische uitwerking van de BIO betekenen. BIO Thema-uitwerkingen worden ontsloten die op NORA online in de ISOR (Information Security Object Repository).

Meer informatie en documenten van het CIP delen zij op de websites van CIP-overheid en BIO-overheid en in het forum op Pleio (vereist lidmaatschap):

→ cip-overheid.nl

→ bio-overheid.nl

→ cip.pleio.nl

Ook de Informatiebeveiligingsdienst (IBD), de sectorale CERT/CSIRT voor alle Nederlandse gemeenten, heeft een set met praktische documenten gepubliceerd, zoals een template voor een verwerkingsregister en handreikingen voor (gemeentelijke) processen zoals dataclassificatie in het kader van de BIO.

→ informatiebeveiligingsdienst.nl/producten/