BIO2 Kader¶
BIO2 in ontwikkeling
Dit document bevat een voorlopige versie van de Baseline Informatiebeveiliging Overheid 2 (BIO2). Het document is het resultaat van de online raadpleging op Github en de werkgroep BIO. De teksten zijn gebaseerd op feedback van verschillende betrokken partijen en zijn nog in ontwikkeling. De onderstaande concepttekst zal onderdeel worden van BIO2. De BIO2 bestaat uit drie delen: 1) een inleiding waarin de context, verplichtingen en samenhang van de BIO worden uitgelegd, 2) de verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen, en 3) een bijlage met daarin de toelichting over best practices.
De overheid vervult een essentiële rol in de samenleving door bij te dragen aan de democratische rechtsstaat en het bieden van diensten aan burgers bedrijven. Deze verantwoordelijkheden vereisen een zorgvuldige omgang met informatie.
Om deel te kunnen nemen aan de samenleving moeten burgers en bedrijven informatie met de overheid delen, soms zelfs verplicht, en zijn zij afhankelijk van de overheid om informatie te ontvangen. De overheid heeft vanuit deze unieke rol de plicht om zorgvuldig om te gaan met de beveiliging van die gegevens.
De Cyberbeveiligingswet verplicht overheidsorganisatie de BIO2 voor de sector 'Overheid' als voornaamste invulling van die zorgplicht.
Leeswijzer¶
De Baseline Informatiebeveiliging Overheid 2 (BIO2) is opgebouwd uit drie onderdelen. 1) Deel 1: Kader - de context en het belang van informatiebeveiliging voor overheidsorganisaties, evenals de structuur en toepasselijkheid van de BIO. 2) Deel 2: BIO-overheidsmaatregelen - verplichte normen en richtlijnen, gebaseerd op internationale standaarden zoals NEN-EN-ISO/IEC 27001, aangevuld met specifieke overheidseisen. 3) Deel 3: Bijlage toelichting [in ontwikkeling] - praktische ondersteuning met extra toelichting of voorbeelden om de BIO-maatregelen effectief te implementeren. Samen vormen deze onderdelen een compleet kader voor informatiebeveiliging binnen de overheid.
Er worden voor de (ISO-)normen in dit document geen jaartallen gebruikt, daar waar gerefereerd wordt aan een andere norm wordt de meest actuele versie bedoelt.
Structuur en toepasselijkheid van de BIO¶
De Baseline Informatiebeveiliging Overheid (BIO) is het verplichte normenkader voor informatiebeveiliging binnen alle overheidsorganisaties. Het biedt richtlijnen, algemene principes en verplichte overheidsmaatregelen voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen de overheid en haar ketens.
Het doel van de BIO is om de informatieveiligheid overheidsbreed op een gemeenschappelijk basisniveau te brengen en daardoor ook de ketenpartners een basis voor vertrouwen te geven bij gegevensuitwisseling. De aanpak conform de BIO vraagt inspanning door ketenorganisaties en eenduidige samenwerking.
Daarnaast biedt de BIO een basis voor overheidsorganisaties om zowel intern als extern transparant te zijn over de wijze waarop informatiebeveiliging is ingericht. Met de BIO hanteert de overheid één gezamenlijke taal en een gezamenlijk doel op het gebied van informatiebeveiliging.
De BIO is samengesteld uit de aanpak van de NEN-EN-ISO/IEC 27001 (het managementsysteem), de beheersmaatregelen en implementatierichtlijnen uit de NEN-EN-ISO/IEC 27002 en aanvullende verplichte overheidsspecifieke maatregelen en -richtlijnen.
Toepassing BIO¶
Met de Cyberbeveiligingswet (Cbw) is de BIO verplicht voor alle organisaties die vallen onder de sector 'Overheid' en geldt voor alle informatiesystemen, zowel digitaal als fysiek, binnen deze organisaties. In de Cbw is beschreven op basis van welke criteria een organisatie als overheid wordt gezien.
De BIO is van toepassing op de informatiebeveiliging van alle typen omgevingen, onder andere ook operationele technologie (OT) en zorginformatie en brengt deze op het noodzakelijke niveau met behulp van normen en richtlijnen zoals de NEN 7510 en Cybersecurity implementatierichtlijn (CSIR).
Dit kader en het bijbehorende deel 2, de verplichte overheidsmaatregelen hebben een verplichtend karakter en moeten altijd gevolgd worden. Deel 3 is een uitwerking en verduidelijking op sommige punten van het kader en de overheidsmaatregelen.
De term informatiesysteem
Een informatiesysteem is "een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie". Het gaat dus expliciet niet alleen om technische (ICT) systemen, maar informatie en organisatie.
Verplichtingen BIO¶
De BIO stelt de volgende verplichtingen aan overheidsorganisaties:
-
NEN-EN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de reikwijdte) van dit managementsysteem.
- Voor het bepalen van de context van de organisatie neemt de organisatie minimaal de beschreven context uit de BIO bij het inrichten, implementeren, in stand houden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
-
NEN-EN-ISO 27002 én de verplichte overheidsspecifieke maatregelen en richtlijnen uit de BIO moet worden toegepast op het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. De maatregelen uit de NEN-ISO/IEC 27002 en BIO kunnen, waar nodig én gelijkwaardig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen, zoals voor zorginformatie de NEN 7510 en voor Operationele Technology (OT) de CSIR en IEC 62443.
-
Organisaties kunnen opzet, bestaan en werking van de maatregelen aantonen. Deze vereiste volgt ook uit de CBW/NIS2. De BIO omvat maatregelen op tactisch niveau. Dit betekent dat de maatregelen eerst geoperationaliseerd moeten worden voordat ze geïmplementeerd kunnen worden. Deze implementatie is risicogericht en voldoet aan best practices en marktstandaarden. Onderdeel van de operationalisatie is ook het kunnen detecteren of de maatregel al dan niet goed functioneert. Over het hele ontwerp wordt geborgd dat uitval van één maatregel niet leidt tot een directe kwetsbaarheid in het hele systeem.
- Hoe de maatregelen zijn geoperationaliseerd wordt, via verwijzingen, vastgelegd in het Information Security Management System (ISMS). Hiermee toont een organisatie ‘opzet’ van maatregelen aan. Via self-assessments, audits, pentesten, redteam-testen e.d., al dan niet met behulp van externe partijen, toont een organisatie ‘bestaan’ en ‘werking’ aan van maatregelen.
-
Er bestaan beheersmaatregelen zonder overheidsmaatregelen: Als een dergelijke beheersmaatregel van toepassing is dan moet gebruik gemaakt worden van de bijbehorende implementatieaanwijzing uit de NEN-EN-ISO/IEC 27002. Afwijken of niet toepassen van bovenliggende beheersmaatregel moet worden onderbouwd met een risicoanalyse en de referentie naar deze analyse moet in een bijlage uitzonderingen opgenomen zijn in de Verklaring van Toepasselijkheid.
Het managementsysteem voor informatiebeveiliging¶
Het managementsysteem voor informatiebeveiliging (Information Security Management Systeem, ook wel ISMS) is een werkwijze om informatiebeveiliging op een gestructureerde manier toe te passen in de organisatie. Zo wordt de organisatie, en een bestuurder in het bijzonder, in staat gesteld om de juiste afwegingen te maken.
De term managementsysteem
Om een veelvoorkomend misverstand te voorkomen: een managementsysteem is géén applicatie. Een applicatie kan wel ondersteunen bij het toepassen van een managementsysteem.
De BIO schrijft voor dat het managementsysteem van een organisatie voldoet aan de norm NEN-EN-ISO/IEC 27001. Bij het bepalen van de reikwijdte van het managementsysteem moet een organisatie minimaal de bedrijfsprocessen en informatiesystemen opnemen die kritisch zijn voor haar dienstverlening, waarbij aantasting van de beschikbaarheid, integriteit of vertrouwelijkheid zou leiden tot onacceptabele impact.
Het managementsysteem voor informatiebeveiliging borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicomanagementproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de organisatie en met de algehele managementstructuur, en dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen.
Reikwijdte managementsysteem¶
Bij het bepalen van de reikwijdte van het managementsysteem moet een organisatie minimaal de bedrijfsprocessen en informatiesystemen opnemen die kritisch zijn voor haar dienstverlening. Het is aan de overheidsorganisaties zelf om te bepalen in welke mate de ondersteunende processen zijn opgenomen in het managementsysteem.
Waar overheden gelijkwaardige processen hanteren is het aanbevolen om, waar beschikbaar, gebruik te maken van de analyse van reikwijdte en het ondersteuningsaanbod die een koepelorganisatie heeft uitgevoerd.
Samenhang managementsystemen¶
De BIO sluit aan op de Harmonized Structure (HS), wat een consistente en uniforme structuur biedt voor managementsystemen, waardoor de integratie van verschillende ISO-normen wordt vereenvoudigd. Dit zorgt voor een consistente en uniforme structuur, waardoor dubbel werk wordt voorkomen en middelen efficiënter worden gebruikt. Het biedt uniformiteit bij de implementatie van verschillende ISO-managementsystemen en vereenvoudigt de integratie van deze systemen.
Risicomanagement¶
Risicomanagement is een kernonderdeel van de NEN-EN-ISO 27001-norm en vormt ook de basis van de BIO-aanpak voor informatiebeveiliging binnen de overheid. De processen zijn ontworpen om risico's systematisch te identificeren, beoordelen, beheersen en continu te monitoren. Het risicomanagementproces verloopt in hoofdlijnen als volgt:
Contextbepaling¶
Volgens de NEN-EN-ISO/IEC 27001 moet een organisatie eerst haar context vaststellen om relevante informatiebeveiligingsrisico’s te identificeren. De BIO vereist hierbij dat overheidsorganisaties minimaal de in de BIO beschreven context meenemen, waaronder de sector 'Overheid' en de specifieke informatiebeveiligingseisen. Dit omvat zowel interne als externe factoren die invloed hebben op de beveiliging van informatie(systemen), en de daarmee samenhangende wettelijke verplichtingen uit de Cyberbeveiligingswet.
Risico-identificatie¶
In deze stap inventariseert de organisatie potentiële risico's voor haar informatie(systemen), waarbij gebruik wordt gemaakt van de NEN-EN-ISO/IEC 27001-standaarden en specifieke overheidsmaatregelen uit de BIO. Voorbeelden hiervan zijn risico’s die voortkomen uit ketenafhankelijkheden, operationele technologie (OT), of gegevensuitwisseling met zorginstellingen. De BIO biedt hierbij richtlijnen die relevant zijn voor overheidsspecifieke omgevingen, zoals de Cybersecurity Implementatierichtlijn (CSIR) voor OT.
Risicoanalyse¶
De geïdentificeerde risico's worden vervolgens geanalyseerd en geclassificeerd op basis van hun waarschijnlijkheid en impact. In dit proces gebruikt men de NEN-EN-ISO/IEC 27001-methoden voor het uitvoeren van risicoanalyses, ondersteund door richtlijnen uit de BIO. Het classificeren van risico's draagt bij aan een consistent beeld van de risicoprioriteiten binnen de organisatie en de overheid als geheel.
Risicobehandeling en maatregelenselectie¶
Op basis van de risicoanalyse selecteert de organisatie passende beheersmaatregelen om risico's te mitigeren. de NEN-EN-ISO/IEC 27001 biedt een reeks beheersmaatregelen, zoals vastgelegd in de NEN-EN-ISO/IEC 27002, en de BIO vult deze aan met verplichte overheidsmaatregelen die aansluiten op de context van de overheid.
Risicomanagement methode¶
Een organisatie moet een risicomanagementmethodiek kiezen en toepassen (zie ook beheersmaatregel 5.08 en 5.12). Een risicomanagementmethodiek omvat ten minste de volgende onderdelen: * Een quickscan om te bepalen of het basisniveau toereikend is of dat aanvullende maatregelen noodzakelijk zijn en waarin de classificatie van een proces en een informatiesysteem wordt uitgevoerd. * Een methode voor een volledige risicoanalyse om te komen tot aanvullende maatregelen. * Een risicoregister met daarin de tijdelijk geaccepteerde risico’s. * Een proces voor opvolging van risico’s om tijdelijk geaccepteerde risico’s structureel op te lossen.
Verklaring van toepasselijkheid (VvT)¶
ISO 27001 vereist dat organisaties een verklaring van toepasselijkheid (VvT) opstellen, waarin zij de geselecteerde beheersmaatregelen vastleggen en toelichten welke maatregelen zijn geïmplementeerd. Voor overheidsorganisaties geldt dat zij hierin ook de BIO-overheidsmaatregelen expliciet opnemen. Eventuele afwijkingen of niet-toepasbare beheersmaatregelen moeten in dit document worden verantwoord.
Monitoring en continue verbetering De NEN-EN-ISO/IEC 27001-norm en de BIO leggen de nadruk op een continu verbeterproces. Een organisatie dient haar risicomanagement te onderhouden en regelmatig te evalueren om de effectiviteit van beheersmaatregelen te waarborgen. Eventuele wijzigingen in wetgeving of nieuwe bedreigingen kunnen aanleiding geven tot het bijwerken van de risicoanalyse en beheersmaatregelen. Met behulp van interne audits, managementbeoordelingen en een gestroomlijnde documentatie binnen het Information Security Management System (ISMS) houdt de organisatie haar risicomanagement actueel.
Samenstelling overheidsmaatregelen¶
De set overheidsmaatregelen vormt een eerste stap naar een goed niveau van informatiebeveiliging voor elke (overheids)organisatie en moet zonder meer worden geïmplementeerd, ongeacht de mate van risico-acceptatie. Deze set bestaat uit basismaatregelen, aangevuld met ketenmaatregelen en maatregelen specifiek voor overheidsrisico’s. Het doel is hiermee een minimumstandaard te waarborgen`.
-
Basishygiëne: Aan deze maatregelen dient minimaal voldaan te worden om aan NIS2 te kunnen voldoen.
-
Ketenrisico’s: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden en waarbij gezamenlijk handelen door de overheid nodig is.
-
Overheidsrisico’s: mitigeren van universele informatieveiligheidsrisico’s die gelden voor de gehele overheid.
Continue ontwikkeling¶
Informatiebeveiliging is een cyclisch proces. De BIO kan niet afgedaan worden met een eenmalig project. Door het toepassen van een managementsysteem blijft een organisatie continu ontwikkelen en verbeteren.
Transparantie en verantwoording¶
Burgers moeten de overheid kunnen vertrouwen. Dit wordt bereikt door transparant te zijn over de inrichting en de staat van informatieveiligheid en daar verantwoording over af te leggen aan burgers, toezichthouders, ketenpartners en stelselverantwoordelijken.
Een managementsysteem voor informatiebeveiliging (ISMS) is een belangrijke manier om gestructureerde verantwoording te ondersteunen.
Het is vanuit de NEN-EN-ISO/IEC 27001 verplicht om een reikwijdte, ook wel scope, van het ISMS en een zogenaamde verklaring van toepasselijkheid te hanteren. Het publiceren van de reikwijdte van het ISMS en de bijbehorende verklaring van toepasselijkheid draagt bij aan transparantie over de inrichting van informatiebeveiliging door de overheid. Niet publiceren van deze informatie zou een onnodige drempel opwerpen voor burgers. Het publiceren van de reikwijdte en de verklaring van toepasselijkheid is daarom verplicht voor een overheidsorganisatie. Een voorbeeld van een verklaring van toepasselijkheid is opgenomen in de BIO2 [moet ontwikkeld worden].
Toezicht¶
De BIO-aanpak is de basis voor het invullen van de zorgplicht van de Cyberbeveiligingswet door overheden. De standaarden NEN-EN-ISO/IEC 27001 en 27002 vormen de basis van de BIO. Het is aangeraden voor toezichthouders om deze standaarden te hanteren. De elementen uit het ISMS vormen de basis om het managementsysteem te toetsen, inclusief de verplichte overheidsmaatregelen uit de BIO.
Certificering aan de hand van de NEN-EN-ISO/IEC 27001 is niet verplicht vanuit de BIO. Certificering draagt wel bij aan het vereenvoudigen van de verantwoording en geeft op basis van een onafhankelijke beoordeling aan dat de organisatie in staat is om informatiebeveiliging procesmatig uit te voeren.
Wettelijke borging informatiebeveiliging overheden¶
De BIO is expliciet niet bedoeld om alle beveiligingseisen van de overheid af te dekken. Elke overheidsorganisatie is zelf verantwoordelijk om vast te stellen welke interne en externe eisen, waaronder ook wet- en regelgeving, van toepassing zijn. De BIO bevat wel overheidsmaatregelen die in lijn zijn met andere wet- en regelgeving, maar is daarin zeker niet uitputtend.
Binnen de overheid bestaan meerdere normen voor informatiebeveiliging. Naast de BIO zijn er bijvoorbeeld de Nederlandse normen NEN 7510 voor verwerkers van zorginformatie en de CSIR voor operationele technologie (OT). Managementsystemen en beheersmaatregelen volgens deze normen kunnen worden geïntegreerd in een managementsysteem voor informatiebeveiliging op basis van de NEN-ISO/IEC 27001.
Cyberbeveiligingswet¶
Voor overheden is in de Cyberbeveiligingswet vastgelegd op welke wijze de zorgplicht voor informatiebeveiliging moet worden ingevuld. Hieronder volgt een samenvatting van de belangrijkste punten die betrekking hebben op het toepassen van de BIO:
-
Verplichting BIO: De BIO is via de Cyberbeveiligingswet verplicht voor alle overheden die vallen onder de sector 'Overheid'.
-
Verantwoordelijkheid bestuurder: De bestuurder is verantwoordelijk voor:
-
het treffen van passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s te beheren en afgestemd op de risico’s die zich voordoen;
-
het goedkeuren van te nemen maatregelen voor het beheer van cyberbeveiligingsrisico’s;
-
het toezien op de uitvoering en het beheer ervan.
-
-
Opleiding: Bestuurders moeten opgeleid zijn en kennis hebben om te kunnen sturen op IB-risico's. En bestuurders moeten ervoor zorgen dat hun werknemers regelmatig opleiding/training volgen aangaande het onderwerp. Dit betekent dat de opleiding moet voldoen aan [invulling Cyberbeveiligingswet voor de sector 'Overheid'].
-
Meldplicht: Bestuurders zijn verantwoordelijk voor het tijdig melden van incidenten. Overheden moeten binnen de doorlooptijden [invulling Cyberbeveiligingswet voor de sector 'Overheid'] een melding maken van een meldplichtig incident.
-
Toezicht en verantwoording: De toezichthouder zal toezicht houden op de invulling van de zorgplicht volgens de Cyberbeveiligingswet. De RDI is als toezichthouder aangewezen voor de sector 'Overheid'.
Aanvullende normen overheidslagen¶
De BIO richt zich op de generieke informatiebeveiliging van overheidsorganisaties. De verschillende overheidslagen hebben te maken met specifieke dreigingen. Het staat ze vrij om voor hun overheidslagen specifieke aanvullende maatregelen te benoemen en die, afhankelijk van de interne besluitvorming, verplichtend of adviserend door te voeren.
Binnen de overheid bestaan meerdere normen voor informatiebeveiliging. Naast de BIO zijn er bijvoorbeeld de Nederlandse normen NEN 7510, voor verwerkers van zorginformatie, de NEN-EN-ISO 22301, voor BCM en crisismanagement en de CSIR voor operationele technologie (OT). De basis van die normen is de internationale norm NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002. Daarmee vallen de twee onderdelen samen: risicomanagement en maatregelen die specifiek passen bij de context.
Governance¶
De bestuurder van een overheidsorganisatie is verantwoordelijk voor het beheersen van informatiebeveiligingsrisico's. De bestuurder kan dat niet alleen. Om informatiebeveiliging gedegen in te regelen is een structuur nodig. Het is aan de organisatie om deze structuur aan te brengen volgens de NEN-EN-ISO/IEC 27001.
Voor overheden zijn er een aantal rollen die standaard deel uitmaken van informatiebeveiliging van een overheidsorganisatie. Deze rollen komen ook terug in de uitwerking van de BIO-overheidsmaatregelen.
Bestuurder¶
De bestuurder is verantwoordelijk voor het treffen van passende en evenredige technische, operationele en organisatorische maatregelen en moet toezien op de naleving daarvan. Kortgezegd is de bestuurder er verantwoordelijk voor dat het risicomanagement is gericht op het borgen van digitale weerbaarheid van de organisatie.
Voor de vier overheidslagen is voor de invulling van sector 'Overheid' binnen de Cyberbeveiligingswet gedefinieerd welke bestuurders worden bedoeld:
-
Gemeenten: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']
-
Provincies: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']
-
Rijksoverheid: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']
-
Waterschappen: [Volgt uit invulling Cyberbeveiligingswet voor sector 'Overheid']
De bestuurder laat zich daarbij adviseren door functionarissen, zoals een Chief Information Security Officer (CISO), Chief Information Officer (CIO) en functionaris gegevensbescherming (FG).
Lijnmanagement¶
Het lijnmanagement is de eigenaar van informatie(systemen) en is daarmee verantwoordelijk voor het identificeren van dreigingen en risico's ten aanzien van deze informatie(systemen). Het lijnmanagement is verantwoordelijk voor het toepassen van de verplichte beheersmaatregelen en overheidsmaatregelen uit de BIO voor het informatiesysteem. In alle gevallen waar het lijnmanagement afwijkt van maatregelen, ook waar dat expliciet als bevoegdheid genoemd is, vraagt het lijnmanagement aan de CISO om advies.
CISO¶
De CISO is verantwoordelijk voor de coördinatie van informatiebeveiliging.
De CISO uitdrukkelijk niet verantwoordelijk voor de informatiebeveiliging door het lijnmanagement. De CISO vertaalt wetgeving en bedrijfsdoelstellingen naar een informatiebeveiligingsbeleid en rapporteert aan het bestuur hoe het lijnmanagement het informatiebeveiligingsbeleid implementeert en op welke wijze wordt voldaan aan de BIO, om ervoor zorg te dragen dat de bestuurder geïnformeerde besluiten kan maken over de behandeling van informatiebeveiligingsrisico's.
De CISO is ondersteunend aan de bestuurder en moet gevraagd en ongevraagd advies kunnen geven aan de bestuurder.
Interne toezichthouder¶
Een bestuurder moet toezien op de toepassing van informatiebeveiliging in de organisatie. Een interne toezichthouder kan helpen bij dit toezicht.
Leveranciers¶
Leveranciers bieden diensten en/of producten aan overheidsorganisaties. Een overheidsorganisatie blijft zelf verantwoordelijk voor het behandelen van risico's die betrekking hebben op de uitbestede of ingekochte dienst of product.
Afhankelijk van het risico behoren daarom verplichtingen van de overheid die volgen uit de BIO of uit andere richtlijnen te worden meegenomen bij het samenstellen van inkoopeisen aan leveranciers. De BIO verwijst naar de Inkoopeisen Cybersecurity Overheid (ICO) voor de basis van het stellen van eisen aan leveranciers.
Soorten overheidsinformatie¶
Overheden kennen verschillende soorten informatie. Het is aan de organisatie zelf om te bepalen welk typen informatie wordt verwerkt door de organisatie en welke aanvullende beveiligingsmaatregelen getroffen moeten worden. Bij deze afweging moeten in ieder geval – en niet uitsluitend - de volgende typen gegevens worden afgewogen:
-
Open data
-
(Bijzondere) persoonsgegevens
-
Gevoelige of interne informatie
-
Gerubriceerde informatie
Impact van risico's¶
De impact van een incident hangt sterk af van de context. Overheidsorganisaties ondervinden vaak specifieke gevolgen door hun rol in de samenleving en democratie, hun bestuursstijl en hun verhouding tot de burgers. Bij het bepalen van de impact moeten minimaal onderstaande impactsgebieden worden afgewogen.
-
Politieke schade aan een bestuurder
-
Diplomatieke schade
-
Financiële gevolgen
-
Directe imagoschade
-
Verlies van publiek respect of vertrouwen
-
Organisatiebrede negatieve publiciteit
-
-
Significant verlies van motivatie van medewerkers
-
Belangrijk verlies van management control
De impactgebieden kunnen tevens bijdragen aan begrip bij de uitwisseling van impact met ketenpartners.
Relatie tot informatie/beheer/business continuity¶
De BIO richt zich op informatiebeveiliging. Onderwerpen zoals privacy, informatievoorziening, beheersprocessen en business continuity zijn aanpalend aan informatiebeveiliging. Voor deze onderwerpen zijn vaak aparte standaarden opgezet. Deze onderwerpen worden daarom niet uitgewerkt in de BIO. Daar waar nuttig wordt verwezen naar deze separate standaarden.
Dankwoord¶
Wij danken iedereen die direct of indirect heeft bijgedragen aan de totstandkoming van de BIO2. In willekeurige volgorde danken wij de vertegenwoordigers van de koepels (Vereniging van Nederlandse Gemeenten, Interprovinciaal Overleg, Unie van Waterschappen), CISO’s van overheidsorganisaties, de Auditdienst Rijk (ADR), de Rijksinspectie Digitale Infrastructuur (RDI), medewerkers van ministeries, het Nationaal Cyber Security Centrum (NCSC), het Centrum Informatiebeveiliging en Privacybescherming (CIP), de informatiebeveiligingsdienst voor gemeenten (IBD), bestuurders en functionarissen van overheden, en alle anderen die hebben bijgedragen.