Ga naar inhoud

BIO2 inleiding

BIO2 in ontwikkeling

Dit is een werkversie van de BIO2. De teksten zijn nog niet representatief voor de definitieve versie. De documentatie is alleen bedoeld om mee te kunnen denken. De definitieve versie kan nog wezenlijk veranderen. De onderstaande concepttekst zal onderdeel worden van BIO2. De BIO2 bestaat uit twee delen: 1) een inleiding waarin de context, verplichtingen en samenhang van de BIO, 2) de verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen.

De overheid heeft een unieke rol in de samenleving. De overheid draagt onder meer bij aan een democratische rechtsstaat en het handhaven van de orde, en verleent unieke diensten aan de burger. Voor het invullen van die rol heeft de overheid informatie nodig.

Om deel te kunnen nemen aan de samenleving moeten burgers informatie met de overheid delen, soms zelfs verplicht, en zijn zij afhankelijk van de overheid om informatie te ontvangen. De overheid heeft vanuit deze unieke rol de plicht om zorgvuldig om te gaan met de beveiliging van die gegevens.

De Cyberbeveiligingswet verplicht de BIO voor de sector 'Overheid' als voornaamste invulling van die zorgplicht.

De BIO

De Baseline Informatiebeveiliging Overheid (BIO), is het verplichte normenkader voor informatiebeveiliging bij de overheid. De BIO biedt handvatten om de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te organiseren en te realiseren. De invulling ervan risicogestuurd. Het uitvoeren van de BIO moet altijd gebaseerd zijn op een grondige analyse van alle relevante risico's voor de overheidsorganisatie.

Doel van de BIO is om de informatieveiligheid overheidsbreed op een acceptabel basisniveau te brengen en daardoor ook de ketenpartners een basis voor vertrouwen te geven bij gegevensuitwisseling.

Daarnaast biedt de BIO een basis voor overheidsorganisaties om zowel intern als extern transparant te zijn over de wijze waarop informatiebeveiliging is ingericht. Met de BIO hanteert de overheid één gezamenlijke taal en een gezamenlijk doel op het gebied van informatiebeveiliging.

Reikwijdte

De BIO is van toepassing op alle overheden. Met de Cyberbeveiligingswet is de BIO verplicht voor alle organisaties die vallen onder de sector 'Overheid'.

De BIO is een norm voor alle overheidslagen en heeft betrekking op alle informatie(systemen) zowel digitaal als fysiek. De BIO is van toepassing op de informatiebeveiliging van alle type omgevingen, onder andere ook operationele technologie (OT) en zorginformatie, van de overheid en brengt deze op het noodzakelijke niveau met behulp van normen en richtlijnen zoals de NEN 7510 en Cybersecurity implementatierichtlijn (CSIR).

De term informatiesysteem

Een informatiesysteem is "een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie". Het gaat dus expliciet niet alleen om technische (ICT) systemen.

De BIO is samengesteld uit de aanpak van de ISO 27001 (het managementsysteem), de beheersmaatregelen en implementatierichtlijnen uit de ISO 27002 en aanvullende verplichte verplichte overheidsspecifieke maatregelen en -richtlijnen uit de BIO.

Verplichtingen BIO

De BIO stelt de volgende verplichtingen:

  • NEN-EN-ISO 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de reikwijdte) van dit managementsysteem.

    • Voor het bepalen van de context van de organisatie moet de beschreven context uit de BIO minimaal worden meegenomen.

  • NEN-EN-ISO 27002 én de verplichte overheidsspecifieke maatregelen en richtlijnen uit de BIO moet worden toegepast op het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. De maatregelen uit de NEN-ISO/IEC 27002 kunnen, waar nodig en gelijkwaardig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen, zoals voor zorginformatie de NEN 7510 en voor Operational Technology (OT) de CSIR en IEC 62443.

Het managementsysteem voor informatiebeveiliging

Het managementsysteem voor informatiebeveiliging (Information Security Management Systeem, ook wel ISMS) is een werkwijze om informatiebeveiliging op een gestructureerde manier toe te passen in de organisatie. Zo wordt de organisatie, en een bestuurder in het bijzonder, in staat gesteld om de juiste afwegingen te maken.

De term managementsysteem

Om een veelvoorkomend misverstand te voorkomen: een managementsysteem is géén applicatie. Een applicatie kan wel ondersteunen bij het toepassen van een managementsysteem.

Het managementsysteem dat de basis vormt voor de BIO, is beschreven in de NEN-EN-ISO 27001.

Het managementsysteem voor informatiebeveiliging borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicomanagementproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de organisatie en met de algehele managementstructuur, en dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, (informatie)systemen en beheersmaatregelen.

Reikwijdte managementsysteem

Een overheid moet minimaal de primaire (informatie)systemen opnemen in de reikwijdte van het managementsysteem. Het is aan de overheidsorganisaties zelf om te bepalen in welke mate de ondersteunende processen zijn opgenomen in het managementsysteem.

Waar overheden gelijkwaardige processen hanteren is het aanbevolen om, waar beschikbaar, gebruik te maken van de analyses die een koepelorganisatie heeft gedaan.

Samenhang managementsystemen

De BIO sluit aan op de Harmonized Structure – HS en is daardoor compatibel met andere managementsysteemnormen uit de ISO reeks die de HLS volgen. Daardoor wordt het voor een organisatie mogelijk om één enkel managementsysteem te hanteren.

Risicomanagement

De BIO gaat uit van risicomanagement. Dit is in lijn met doelen uit de NEN-EN-ISO 27001 en de uitgangspunten van de Cyberbeveiligingswet.

De set overheidsmaatregelen vormen de basishygiëne op gebied van informatiebeveiliging van elke (overheids)organisatie en worden zonder meer getroffen, los van hoge of lage risico-acceptatie. Onderdeel daarvan zijn ketenrisico's en risico's die de gehele overheid gelden.

  • Basishygiëne: basismaatregelen die passen bij een standaard goede informatiebeveiliging. De selectie van hygiënemaatregelen zal hierbij minimaal gelijk zijn aan of hoger liggen dan het vereiste niveau van de cyberhygiëne van NIS2.

  • Ketenrisico’s: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden en waarbij gezamenlijk handelen door de overheid nodig is.

  • Overheidsrisico’s: mitigeren van universele informatieveiligheidsrisico’s die gelden voor de gehele overheid.

Continue ontwikkeling

Informatiebeveiliging is een cyclisch proces, het toepassen van de BIO kan niet afgedaan worden met een eenmalig project. Door het toepassen van een managementsysteem kan de organisatie continu ontwikkelen.

Transparantie en verantwoording

Burgers moeten de overheid kunnen vertrouwen. De overheid doet dit door transparant te zijn over de inrichting en de staat van informatieveiligheid en daar verantwoording over af te leggen aan burgers, toezichthouders, ketenpartners en stelselverantwoordelijken.

Een managementsysteem voor informatiebeveiliging (ISMS) is noodzakelijk voor gestructureerde verantwoording. Het is vanuit de NEN-EN-ISO 27001 verplicht om een reikwijdte en een zogenaamde Verklaring van Toepasselijkheid (VvT) te hanteren.

Het publiceren van de reikwijdte van het ISMS en de bijbehorende Verklaring van Toepasselijkheid draagt bij aan transparantie over de inrichting van informatiebeveiliging door de organisatie. Het publiceren van deze documenten wordt daarom aangeraden.

Een voorbeeld van een Verklaring van Toepasselijkheid is opgenomen in de BIO2 [moet ontwikkeld worden].

Toezicht

De BIO aanpak is de basis voor het invullen van de zorgplicht door overheden. De kaders NEN-EN-ISO 27001 en 27002 vormen de basis van de BIO. Het is aangeraden voor toezichthouders om deze kaders als basis te hanteren. De inleiding in de BIO en de overheidsmaatregelen vormen vervolgens een basis om het managementsysteem te toetsen.

Certificering aan de hand van de ISO 27001 is niet verplicht vanuit de BIO. Certificering kan wel bijdragen aan het vereenvoudigen bij verantwoording. De certificering geeft namelijk op basis van een onafhankelijke beoordeling aan, dat de organisatie in staat is om informatiebeveiliging procesmatig uit te voeren.

Wettelijke borging informatiebeveiliging overheden

De BIO is expliciet niet bedoeld om alle beveiligingseisen van de overheid af te dekken. Elke overheidsorganisatie is zelf verantwoordelijk om te bepalen welke interne en externe eisen, zoals wet- en regelgeving van toepassing zijn.

De BIO bevat wel overheidsmaatregelen die soms voortkomen uit andere wet- en regelgeving, maar is daarin zeker niet uitputtend. Alleen die maatregelen die zinvol zijn voor het bereiken van de eerder genoemde doelen zijn daarom soms opgenomen.

Aanvullende normen overheidslagen

De BIO richt zich op de generieke informatiebeveiliging van overheidsorganisaties. De verschillende overheidslagen hebben te maken met specifieke dreigingen. Het staat ze vrij om voor hun overheidslagen specifieke aanvullende maatregelen te benoemen en die, afhankelijk van de interne besluitvorming, verplichtend of adviserend door te voeren.

Binnen de overheid bestaan meerdere normen voor informatiebeveiliging. Naast de BIO zijn er bijvoorbeeld de Nederlandse normen NEN 7510, voor verwerkers van zorginformatie, de ISO 22301, voor BCM en crisismanagement en de CSIR voor operationele technologie (OT). De basis van die normen is de internationale norm ISO 27001 en ISO 27002.

Daarmee vallen de twee onderdelen samen: risicomanagement en maatregelen die specifiek passen bij de context. Zo stelt de BIO overheidseisen en staan in de aanvullende normen specifieke eisen die alleen van toepassing zijn als die normen binnen de reikwijdte vallen van het ISMS.

Cyberbeveiligingswet

Voor overheden is in de Cyberbeveiligingswet vastgelegd op welke wijze de zorgplicht voor informatiebeveiliging moet worden ingevuld. Hieronder volgt een samenvatting van de belangrijkste punten die betrekking hebben op het toepassen van de BIO:

  • Verplichting BIO: De BIO is via de Cyberbeveiligingswet verplicht voor alle overheden die vallen onder de sector 'Overheid'.

  • Verantwoordelijkheid bestuurder: De bestuurder is verantwoordelijk voor

    • het treffen van passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s te beheren afgestemd op de risico’s die zich voordoen

    • het goedkeuren van te nemen maatregelen voor het beheer van cyberbeveiligingsrisico’s

    • het toezien op de uitvoering en het beheer ervan.

  • Opleiding: Bestuurders moeten opgeleid zijn en kennis hebben om te kunnen sturen op IB risico's. En bestuurders moeten regelmatig een soortgelijke opleiding/training aan hun werknemers aanbieden. Dit betekent dat de opleiding moet voldoen aan [invulling Cyberbeveiligingswet voor de sector 'Overheid'].

  • Meldplicht: Bestuurders zijn verantwoordelijk voor het tijdig melden van incidenten. Overheden moeten binnen de doorlooptijden [invulling Cyberbeveiligingswet voor de sector 'Overheid'] een melding maken van een meldplichtig incident.

  • Toezicht en verantwoording: De toezichthouder zal toezicht houden op de invulling van de zorgplicht volgens de Cyberbeveiligingswet. De RDI is als toezichthouder aangewezen voor de sector 'Overheid'.

Governance

Het beheersen van informatiebeveiligingsrisico's is de verantwoordelijkheid van de bestuurder van een overheidsorganisatie. De bestuurder kan dat niet alleen. Om informatiebeveiliging gedegen in te regelen is een structuur nodig. Het is aan de organisatie om deze structuur aan te brengen volgens de NEN-EN-ISO 27001.

Voor overheden zijn er een aantal rollen die hier een vast onderdeel horen te zijn. Deze rollen komen ook terug in de BIO-maatregelen.

Bestuurder

De bestuurder is verantwoordelijk voor het treffen van passende en evenredige technische, operationele en organisatorische maatregelen en moet toezien op de naleving daarvan. Kortgezegd is de bestuurder er verantwoordelijk voor dat het risicomanagement is gericht op het borgen van digitale weerbaarheid van de organisatie.

Voor de vier overheidslagen is voor de invulling van sector 'Overheid' binnen de Cyberbeveiligingswet gedefinieerd welke bestuurders worden bedoeld:

  • Gemeenten: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']

  • Provincies: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']

  • Rijksoverheid: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']

  • Waterschappen: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']

De bestuurder laat zich daarbij adviseren door functionarissen, zoals een CISO, CIO en FG .

Lijnmanagers

Het lijnmanagement is de eigenaar van informatie(systemen) en is daarmee verantwoordelijk voor het identificeren van dreigingen en risico's ten aanzien van deze informatie(systemen).

Het lijnmanagement is verantwoordelijk voor het toepassen van de verplichte beheersmaatregelen en implementatierichtlijnen uit de BIO voor het informatiesysteem.

CISO

De CISO is verantwoordelijk voor de coördinatie van informatiebeveiliging.

De CISO uitdrukkelijk niet verantwoordelijk voor de informatiebeveiliging door het lijnmanagement. De CISO vertaalt wetgeving en bedrijfsdoelstellingen naar een informatiebeveiligingsbeleid en rapporteert aan het bestuur hoe het lijnmanagement het informatiebeveiligingsbeleid implementeert.

Om ervoor zorg te dragen dat de bestuurder geïnformeerde besluiten kan maken over de behandeling van informatiebeveiligingsrisico's. De CISO is ondersteunend aan de bestuurder en moet gevraagd en ongevraagd advies kunnen geven aan de bestuurder.

Interne toezichthouder

Een bestuurder moet toezien op de toepassing van informatiebeveiliging in de organisatie. Een interne toezichthouder kan helpen bij dit toezicht.

Leveranciers

Leveranciers bieden diensten en/of producten aan overheidsorganisaties. Een overheidsorganisatie blijft zelf echter verantwoordelijk voor het behandelen van risico's die betrekking hebben op de uitbestede of ingekochte dienst of product.

De verplichting voor het toepassen van de BIO ontstaat uit de risico's en verplichtingen die gelden voor alle overheden. De risico's, de bijhorende maatregelen en verplichtingen gelden daarmee ook voor een dienst of product die een overheid uitbesteed.

De BIO verwijst naar de Inkoopeisen Cybersecurity Overheid (ICO) voor de basis van het stellen van eisen aan leveranciers. Het samenstellen van de eisen voor leveranciers bestaat dus uit de afweging van risico's en de verplichtingen die gelden voor de overheidsorganisatie.

Soorten overheidsinformatie

Overheden kennen verschillende soorten informatie. Het is aan de organisatie zelf om te bepalen welk type informatie wordt verwerkt door de organisatie en welke aanvullende beveiligingsmaatregelen getroffen moeten worden. Bij deze afweging moeten in ieder geval de volgende type gegevens worden afgewogen:

  • Persoonsgegevens

  • Bijzondere persoonsgegevens

  • Gevoelige informatie

  • Open data

  • Gerubriceerde informatie

Impact van risico's

De impact van een incident hangt sterk af van de context. Overheidsorganisaties ondervinden vaak specifieke gevolgen door hun rol in de samenleving en democratie, hun bestuursstijl en hun verhouding tot de burgers. Bij het bepalen van de impact moeten minimaal onderstaande impactsgebieden worden afgewogen.

  • Politieke schade aan een bestuurder

  • Diplomatieke schade

  • Financiële gevolgen

  • Directe imagoschade

    • Verlies van publiek respect of vertrouwen

    • Organisatiebrede negatieve publiciteit

  • Significant verlies van motivatie van medewerkers

  • Belangrijk verlies van management control

De impactgebieden kunnen tevens bijdragen aan begrip bij de uitwisseling van impact met ketenpartners.

Relatie tot informatie/beheer/business continuity

De BIO richt zich op informatiebeveiliging. Onderwerpen zoals privacy, informatievoorziening, beheersprocessen en business continuity zijn aanpalend aan informatiebeveiliging. Voor deze onderwerpen zijn vaak aparte standaarden opgezet. Deze onderwerpen worden daarom niet uitgewerkt in de BIO. Daar waar nuttig wordt verwezen naar deze separate standaarden.

Wet- en regelgeving

In BIO zijn een aantal verwijzingen opgenomen naar wet- en regelgeving die relevant zijn voor de gehele overheid.

De BIO alleen is onvoldoende voor een organisatie om te bepalen of het voldoet aan wet- en regelgeving op het gebied van informatieveiligheid. In lijn met risicomanagement moet een organisatie zelf haar context met de daarin van toepassing zijnde wet- en regelgeving bepalen en dit uitwerken in een reikwijdte als basis voor het in te richten ISMS.