Ga naar inhoud

Disclaimer

De BIO2 versie 1.3 in de GitHub-omgeving heeft geen formele status. De inhoud van dit document kan afwijken van de formele documentatie. De officiële versie van de BIO2 is beschikbaar via de BIO-website.

9 januari 2026, versie 1.3 definitief

COPYRIGHT-NOTITIE

Deel 1 BIO2-kader van de Baseline Informatiebeveiliging Overheid 2 (BIO2) is gestructureerd volgens NEN-EN-ISO/IEC 27001:2023, en deel 2 BIO-overheidsmaatregelen van de BIO2 is gestructureerd volgens NEN-EN-ISO/IEC 27002:2022. Entiteiten kunnen kosteloos beschikken over deze normen via NEN connect, het digitale platform van het Nederlands Normalisatie Instituut (NEN).

Forum Standaardisatie heeft deze normen opgenomen in de ‘pas-toe-of-leg-uit’-lijst met verplichte standaarden voor de publieke sector. Dit betekent dat de overheid deze normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen. De BIO2 beschrijft de invulling van NEN-EN-ISO/IEC 27001:2023 en NEN-EN-ISO/IEC 27002:2022 voor de overheid. De BIO2 vervangt deze twee normen niet, maar vult ze aan.

NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002 beschrijven de details voor implementatie (richtlijnen) en eisen voor de procesinrichting (onder andere het ISMS uit NEN-EN-ISO/IEC 27001). ISO 27001 is verplicht voor het inrichten van het managementsysteem voor informatiebeveiliging. Daar waar de BIO2 niet expliciet iets voorschrijft, worden beide ISO-normen gebruikt, om te komen tot een goede inrichting voor risicomanagement. Deze ISO-normen geven dus de details voor de toepassing, die niet in de BIO2 zijn beschreven en die nodig blijven voor een goede implementatie van de BIO2.

Het gebruik van informatie uit NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002 in de BIO is auteursrechtelijk beschermd.

Het gebruik van teksten uit deze normen in de BIO geschiedt met toestemming van NEN. Voor meer informatie over de NEN en het gebruik van hun producten zie: www.nen.nl.

WIJZIGINGSBEHEER

Versie Datum Wijziging Door
1.0 concept 05-03-2025 Eerste online gepubliceerde conceptversie met instemming van het kern-IBO. BZK
1.1 concept 14-04-2025 Tweede online gepubliceerde conceptversie: Versie en status toegevoegd. Enters tussen overheidsmaatregelen toegevoegd als er meerdere maatregelen binnen één nummer bestaan. Diverse tekstuele verbeteringen. CIP
1.1.1 concept 05-08-2025 Versie voor goedkeuring door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO): Herstel onvolkomenheden in kolom ’draagt bij aan’. Verduidelijken paragraaf risico-identificatie. Consistentie in termgebruik. Overbodige overheidsmaatregel 7.07.02 verwijderd. CIP
1.2 definitief 24-09-2025 Door het OBDO vastgestelde versie. Opmaak in huisstijl. Toevoeging wijzigingsbeheertabel. Overheidsmaatregel 5.18.1 verwijderd vanwege maatregel 5.18.2 en 5.18.3. Overheidsmaatregel 7.07.02 verwijderd vanwege maatregel 7.07.01. CIP
1.3 definitief 09-01-2026 Aanpassingen vanwege BIO2 als wetgeving. Overheidsmaatregelen buiten Cbw-reikwijdte grijs gemarkeerd. 5.24.08 toegevoegd en vanuit 8.08.06 ernaar verwezen. Verwijderd: Derde alinea van 2. Doel van de BIO is in § Cyberbeveiligingswet (Cbw) beschreven. Eerste alinea van 3. Toepassing BIO is beschreven in 1. Leeswijzer. Typen hygiënen en overheidsrisico. 5.21.01 is beschreven in 5.21.03. Nationale in 5.24.07 vanwege Cbw. 5.35.01 is beschreven in Deel 1 BIO2-kader. 7.01.01 is onvoldoende concreet. Eerste alinea van 7.10.02 is beschreven bij 7.10.01. 8.24.03 is indirect beschreven bij 8.24.01. Verplaatste overheidsmaatregelen: Eerste deel van 5.01.01 naar 5.02.01. 5.04.02 naar 5.10.02. 5.04.03 naar 5.10.03. 5.24.06 naar 5.21.05. 5.25.01 naar 5.26.01. 5.26.01 naar 5.25.01. Eerste bullet van 8.01.02 naar 6.03.04. 08.08.06 met een verwijzing naar 5.24.02. CIP

DANKWOORD

Wij danken iedereen die direct of indirect heeft bijgedragen aan de totstandkoming van de BIO2. In willekeurige volgorde danken wij de vertegenwoordigers van de koepelorganisaties (Vereniging van Nederlandse Gemeenten, Interprovinciaal Overleg en Unie van Waterschappen), Chief Information Security Officers (CISO’s) van overheidseniteiten, de Auditdienst Rijk (ADR), de Rijksinspectie Digitale Infrastructuur (RDI), het Nationaal Cyber Security Centrum (NCSC), het Centrum Informatiebeveiliging en Privacybescherming (CIP), de informatiebeveiligingsdienst voor gemeenten (IBD), de leden van de werkgroep BIO, bestuurders en functionarissen van overheden en alle anderen die hebben bijgedragen.

DEEL 1 BIO2-KADER

De overheid vervult een essentiële rol in de samenleving door bij te dragen aan de democratische rechtsstaat en het bieden van diensten aan burgers en bedrijven. Deze verantwoordelijkheden vereisen een zorgvuldige omgang met informatie en gegevens. Om deel te kunnen nemen aan de samenleving moeten burgers en bedrijven informatie met de overheid delen en zijn zij afhankelijk van de overheid om informatie te ontvangen. De overheid heeft vanuit deze unieke rol de plicht om zorgvuldig om te gaan met deze informatie.

De Baseline Informatiebeveiliging Overheid (BIO) is het normenkader voor informatiebeveiliging binnen alle overheidsentiteiten. Het biedt richtlijnen, algemene principes en verplichte overheidsmaatregelen voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen de overheid en haar ketens.

1. Leeswijzer

De Baseline Informatiebeveiliging Overheid 2 (BIO2) is opgebouwd uit twee delen:

  1. Deel 1 BIO2-kader - de context en het belang van informatiebeveiliging voor entiteiten, evenals de structuur en toepasselijkheid van de BIO.
  2. Deel 2 BIO-overheidsmaatregelen - verplichte maatregelen, gebaseerd op de internationale norm NEN-EN-ISO/IEC 27001, bijlage A (normatief) Referentie voor beheersmaatregelen voor informatiebeveiliging, aangevuld met specifieke overheidseisen.

Deze twee delen vormen een compleet kader voor informatiebeveiliging binnen de overheid. Er worden voor de ISO-normen in dit document alleen jaartallen vermeld als dit van belang is. Daar waar gerefereerd wordt aan een andere norm is geen jaartal vermeld en wordt de meest actuele versie bedoeld.

2. Doel van de BIO

Het doel van de BIO is om de informatieveiligheid overheidsbreed op een gemeenschappelijk basisniveau te brengen en daardoor ook de ketenpartners een basis van vertrouwen te geven bij gegevensuitwisseling.

Daarnaast biedt de BIO een basis voor entiteiten om zowel intern als extern transparant te zijn over de wijze waarop informatiebeveiliging is ingericht. Met de BIO hanteert de overheid één gezamenlijke taal en een gezamenlijk doel voor informatiebeveiliging.

3. Toepassing BIO

De BIO is van toepassing op de informatiebeveiliging van alle typen omgevingen, onder andere operationele technologie (OT) en zorginformatie. De BIO brengt deze op het noodzakelijke niveau met behulp van normen en richtlijnen zoals NEN 7510 Informatiebeveiliging in de zorg en Cybersecurity implementatierichtlijn (CSIR).

Deel 1 BIO2-kader en het bijbehorende deel 2 BIO-overheidsmaatregelen hebben een verplichtend karakter en worden altijd gevolgd.

Een informatiesysteem is ‘een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.’ Het gaat dus expliciet niet alleen om technische (ICT-)systemen, maar informatie en organisatie.

4. Verplichtingen BIO

De BIO stelt de volgende verplichtingen aan entiteiten:

  • NEN-EN-ISO/IEC 27001 wordt toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de reikwijdte) van dit managementsysteem. Voor het bepalen van de context van de organisatie neemt de organisatie minimaal de beschreven context over uit de BIO bij het inrichten, implementeren, in stand houden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
  • NEN-EN-ISO/IEC 27002 én de verplichte overheidsmaatregelen uit de BIO moeten worden toegepast op het formuleren van passende beheersmaatregelen. Hierbij wordt rekening gehouden met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden, gebaseerd op de scope en de onderkende risico’s. De beheersmaatregelen uit NEN-ISO/IEC 27002 en de BIO kunnen, waar nodig én gelijkwaardig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen, zoals voor zorginformatie de NEN 7510 en voor Operationele Technologie (OT) de CSIR en IEC 62443 Industriële cybersecurity.
  • Entiteiten tonen opzet, bestaan en werking van maatregelen aan. Dit vereiste volgt ook uit de Cbw/Network and Information Security directive 2 (NIS2). De BIO omvat overheidsmaatregelen op tactisch niveau. Dit betekent dat deze maatregelen door de entiteit eerst geoperationaliseerd worden voordat ze geïmplementeerd kunnen worden. Deze implementatie is risicogericht en voldoet aan best practices en marktstandaarden. Onderdeel van de operationalisatie is het kunnen detecteren of de maatregel goed functioneert. Over het hele ontwerp wordt geborgd dat uitval van één maatregel niet leidt tot een directe kwetsbaarheid in het hele systeem. Hoe de maatregelen zijn geoperationaliseerd, wordt via verwijzingen vastgelegd. Hiermee toont een entiteit de ‘opzet’ van maatregelen aan. Al dan niet met behulp van externe partijen en/of via self-assessments, audits, pentesten, redteam-testen en dergelijke toont een entiteit het ‘bestaan’ en de ‘werking’ aan van maatregelen aan.

5. Het managementsysteem voor informatiebeveiliging

Het managementsysteem voor informatiebeveiliging (Information Security Management Systeem, ook wel ISMS) is een werkwijze om informatiebeveiliging op een gestructureerde manier toe te passen in de entiteit. Zo wordt de entiteit, en een bestuurder in het bijzonder, in staat gesteld om de juiste afwegingen te maken.

Om een veelvoorkomend misverstand te voorkomen: een managementsysteem is géén applicatie. Een applicatie kan wel ondersteunen bij het toepassen van een managementsysteem.

Het managementsysteem voor informatiebeveiliging borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicomanagementproces toe te passen. Dit geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de organisatie en met de algehele managementstructuur, en dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen.

5.1 Reikwijdte managementsysteem

Bij het bepalen van de reikwijdte van het managementsysteem moet een organisatie minimaal de bedrijfsprocessen en informatiesystemen opnemen die kritisch zijn voor haar dienstverlening. Het is aan de overheidsorganisaties zelf om te bepalen in welke mate de ondersteunende processen zijn opgenomen in het managementsysteem.

Waar overheden gelijkwaardige processen hanteren, is het aanbevolen om, waar beschikbaar, gebruik te maken van het ondersteuningsaanbod van de koepelorganisatie.

5.2 Samenhang managementsystemen

De BIO sluit aan op de Harmonized Structure (HS), wat een consistente en uniforme structuur biedt voor managementsystemen, waardoor de integratie van verschillende (ISO-)normen voor managementsystemen wordt vereenvoudigd. Hierdoor wordt dubbel werk voorkomen en middelen efficiënter gebruikt. Het biedt uniformiteit bij de implementatie van verschillende managementsystemen en vereenvoudigt de integratie van deze systemen.

6. Risicomanagement

Risicomanagement is een kernonderdeel van NEN-EN-ISO/IEC 27001 en vormt ook de basis van de BIO-aanpak binnen de overheid. De processen zijn ontworpen om risico’s systematisch te identificeren, beoordelen, beheersen en continu te monitoren. Het risicomanagementproces verloopt in hoofdlijnen als volgt:

  1. Contextbepaling
  2. Kiezen risicomanagementmethodiek
  3. Risico-identificatie
  4. Risicoanalyse
  5. Risicobehandeling en maatregelenselectie

6.1 Contextbepaling

NEN-EN-ISO/IEC 27001 vereist dat een entiteit eerst haar context vaststelt om relevante informatiebeveiligingsrisico’s te identificeren. Dit omvat zowel interne als externe factoren die invloed hebben op de beveiliging van informatie(systemen), en de daarmee samenhangende wettelijke verplichtingen uit de Cbw.

6.2 Kiezen risicomanagementmethodiek

Een entiteit kiest een risicomanagementmethodiek en past deze toe die aansluit bij NEN-EN-ISO/IEC 27001. Een risicomanagementmethodiek omvat ten minste de volgende onderdelen:

  • een quickscan om te bepalen of het basisniveau toereikend is of dat aanvullende maatregelen noodzakelijk zijn en waarin de classificatie van een proces en een informatiesysteem wordt uitgevoerd
  • een methode voor een volledige risicoanalyse om te komen tot aanvullende maatregelen
  • een risicoregister met daarin de tijdelijk geaccepteerde risico’s
  • een proces voor opvolging van risico’s om tijdelijk geaccepteerde risico’s structureel op te lossen

6.3 Risico-identificatie

De entiteit:

  • stelt vast welke waardevolle informatie(verwerkende) middelen aanwezig zijn;
  • brengt de relevante bedreigingen in kaart die daarop van invloed kunnen zijn;
  • identificeert kwetsbaarheden;
  • bepaalt wat de potentiële consequenties zijn als deze bedreigingen zich daadwerkelijk manifesteren.

Hierbij worden uiteenlopende dreigingen en mogelijke scenario’s systematisch geïnventariseerd. Verschillende hulpmiddelen zoals NEN-ISO/IEC 27005 of het Cybersecurity Framework (CSF) en SP 800-30 van National Institute of Standards and Technology (NIST) kunnen gebruikt worden. Voorbeelden hiervan zijn dreigingen die voortkomen uit ketenafhankelijkheden, op OT, of gegevensuitwisseling met zorginstellingen.

6.4 Risicoanalyse

De geïdentificeerde risico’s worden vervolgens geanalyseerd en geclassificeerd op basis van hun waarschijnlijkheid en impact. De entiteit gebruikt in dit proces NEN-EN-ISO/IEC 27001 voor het uitvoeren van risicoanalyses, ondersteund door richtlijnen uit de BIO. Het classificeren van risico’s draagt bij aan een consistent beeld van de risicoprioriteiten binnen de entiteit en de overheid als geheel.

6.5 Risicobehandeling en maatregelenselectie

Er worden na de risicoanalyse passende beheersmaatregelen geselecteerd om risico’s te beheersen. NEN-EN-ISO/IEC 27001, bijlage A (normatief) Referentie voor beheersmaatregelen voor informatiebeveiliging, biedt een reeks beheersmaatregelen, die nader uitgewerkt zijn in NEN-EN-ISO/IEC 27002. De BIO vult deze aan met verplicht toe te passen overheidsmaatregelen die aansluiten op de context van de overheid. Deze overheidsmaatregelen zijn altijd verplicht en kunnen ongeacht de risico-inschatting van de entiteit niet geaccepteerd worden, tenzij ze niet van toepassing kunnen zijn.

7. Verklaring van toepasselijkheid (VvT)

NEN-EN-ISO/IEC 27001 vereist dat entiteiten een VvT opstellen, waarin zij de geselecteerde beheersmaatregelen vastleggen en toelichten welke maatregelen zijn geïmplementeerd. Voor entiteiten geldt dat zij hierin ook de overheidsmaatregelen expliciet opnemen. Eventuele afwijkingen of niet-toepasbare beheersmaatregelen worden in een bijlage ‘Uitzonderingen op de VvT’ opgenomen.

8. Monitoring en continue verbetering

De implementatie van de BIO kan niet afgedaan worden met een eenmalig project. Informatiebeveiliging is een cyclisch proces. NEN-EN-ISO/IEC 27001 en de BIO leggen de nadruk op een continu verbeterproces. Door het toepassen van een managementsysteem blijft een entiteit continu ontwikkelen en verbeteren. Een entiteit onderhoudt haar managementsysteem en evalueert regelmatig om de effectiviteit van beheersmaatregelen te waarborgen. Wijzigingen in wetgeving of nieuwe bedreigingen kunnen aanleiding geven tot het bijwerken van de risicoanalyse en beheersmaatregelen. Met interne audits, managementbeoordelingen en gestroomlijnde documentatie binnen het ISMS houdt de entiteit haar risicomanagement actueel.

9. Transparantie en verantwoording

Burgers moeten erop kunnen vertrouwen dat de overheid uiterst zorgvuldig met gegevens omgaat. Dit wordt ook bereikt door transparant te zijn over de inrichting en de staat van informatieveiligheid en daar verantwoording over af te leggen.

Iedere overheidsorganisatie legt verantwoording af over de staat van de informatieveiligheid via de geldende verantwoordingskaders en aan de relevante toezichthoudende instanties. Informatieveiligheid is een standaard onderdeel van het jaarverslag van de organisatie. Voor veilige onderlinge samenwerking tussen overheidsorganisaties, geven overheidsorganisaties elkaar inzicht in de getroffen maatregelen. Hierbij wordt gebruik gemaakt van de VvT.

10. Toezicht

De BIO-aanpak is de basis voor het invullen van de zorgplicht uit de Cbw door overheidsentiteiten. NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002 vormen de basis van de BIO. Het is aangeraden voor toezichthouders om deze standaarden te hanteren. De elementen uit het ISMS vormen de basis om het managementsysteem te toetsen, inclusief de verplichte overheidsmaatregelen uit de BIO.

De BIO verplicht geen NEN-EN-ISO/IEC 27001-certificering. Certificering draagt wel bij aan het vereenvoudigen van de verantwoording en geeft op basis van een onafhankelijke beoordeling aan dat de entiteit in staat is om informatiebeveiliging procesmatig uit te voeren.

11. Toepasselijke overige normen, wet- en regelgeving

De BIO bevat overheidsmaatregelen die in lijn zijn met andere wet- en regelgeving, maar is daarin zeker niet uitputtend. De BIO is expliciet niet bedoeld om alle beveiligingseisen van de overheid af te dekken. De verschillende overheidslagen hebben te maken met specifieke dreigingen. Overheidslagen kunnen specifieke aanvullende maatregelen benoemen en die, afhankelijk van de interne besluitvorming, verplichtend of adviserend door te voeren. Daarnaast is elke entiteit zelf verantwoordelijk om vast te stellen welke interne en externe eisen, waaronder ook wet- en regelgeving, van toepassing zijn.

Binnen de overheid gelden meerdere normen voor informatiebeveiliging. Naast de BIO zijn er bijvoorbeeld de Nederlandse normen NEN 7510 Informatiebeveiliging in de zorg voor verwerkers van zorginformatie, NEN-EN-ISO 22301 Managementsystemen voor bedrijfscontinuïteit en crisismanagement en de CSIR voor OT. De basis van deze normen is NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002. Managementsystemen en beheersmaatregelen volgens deze normen kunnen worden geïntegreerd in een managementsysteem voor informatiebeveiliging op basis van NEN-EN-ISO/IEC 27001. Daarmee vallen de twee onderdelen samen: risicomanagement en maatregelen die specifiek passen bij de context.

11.1 Cyberbeveiligingswet (Cbw)

Voor overheden is in de Cbw vastgelegd op welke wijze de zorgplicht voor de beveiliging van netwerk- en informatiesystemen wordt ingevuld. Hieronder volgt een samenvatting van de belangrijkste punten die betrekking hebben op het toepassen van de BIO:

  • Verplichting BIO: het toepassen van de BIO voor de beveiliging van netwerk- en informatiesystemen is via de Cbw verplicht voor alle entiteiten die vallen onder de sector ‘Overheid’. Voor overheidsentiteiten die niet onder de Cbw vallen, is de BIO verplichtende zelfregulering per besluit in van het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). Ook waar beheers- en overheidsmaatregelen zijn uitgezonderd van de Cbw-verplichting of waar informatiebeveiliging over iets anders gaat dan de beveiliging van netwerk- en informatiesystemen, bijvoorbeeld de beveiliging van informatie op papier, geldt de BIO als verplichtende zelfregulering voor alle overheidsentiteiten.
  • Verantwoordelijkheid bestuurder: De bestuurder is verantwoordelijk voor:
  • het treffen van passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s te beheren en afgestemd op de voor de entiteit relevante risico’s en deze beheersen;
  • het goedkeuren van te nemen maatregelen voor het beheer van cyberbeveiligingsrisico’s;
  • het toezien op de kwaliteit van de uitvoering en het beheer van de maatregelen.
  • Opleiding: bestuurders zijn opgeleid en hebben kennis om te kunnen sturen op informatiebeveiligingsrisico’s. Ze zorgen ervoor dat hun werknemers regelmatig opleiding/training volgen over het onderwerp. Dit betekent dat de opleiding voldoet aan de eisen uit de Cbw.
  • Meldplicht: de entiteit is verantwoordelijk voor het tijdig melden van significante incidenten. Overheden maken binnen de doorlooptijden een melding van een meldplichtig incident.
  • Toezicht en verantwoording: de toezichthouder zal toezicht houden op de invulling van de zorgplicht volgens de Cbw. De RDI is als toezichthouder aangewezen voor de sector ‘Overheid’.

12. Governance

De bestuurder van een entiteit is verantwoordelijk voor het beheersen van informatiebeveiligingsrisico’s. De bestuurder kan dat niet alleen. Om informatiebeveiliging gedegen in te regelen, is een structuur nodig. Het is aan de entiteit om deze structuur aan te brengen volgens NEN-EN-ISO/IEC 27001.

Voor overheden zijn er een aantal rollen die standaard deel uitmaken van informatiebeveiliging van een entiteit. Deze rollen komen ook terug in de uitwerking van overheidsmaatregelen.

12.1 Bestuurder

De aangewezen bestuurders zijn verantwoordelijk voor het treffen van passende en evenredige technische, operationele en organisatorische maatregelen en ziet toe op de naleving daarvan. Kortgezegd zij zijn verantwoordelijk voor risicomanagement, dat gericht is op het borgen van digitale weerbaarheid van de entiteit.

Voor de sector ‘Overheid’ is in artikel 24 twaalfde lid van de Cbw gedefinieerd welke bestuurders worden bedoeld.

De bestuurder laat zich daarbij adviseren door een Chief Information Security Officer (CISO), Chief Information Officer (CIO), functionaris gegevensbescherming (FG) en dergelijke.

12.2 Lijnmanagement

Het lijnmanagement:

  • is de eigenaar van informatie(systemen) en is daarmee verantwoordelijk voor het identificeren van dreigingen en risico’s van deze informatie(systemen);
  • is verantwoordelijk voor het toepassen van de verplichte beheersmaatregelen en overheidsmaatregelen uit de BIO voor het informatiesysteem;
  • vraagt de CISO om advies, in alle gevallen waar het afwijkt van overheidsmaatregelen, ook waar dat expliciet als bevoegdheid genoemd is.

12.3 CISO

De CISO:

  • is verantwoordelijk voor de coördinatie van informatiebeveiliging;
  • ondersteunt de bestuurder en geeft gevraagd en ongevraagd advies aan de bestuurder;
  • vertaalt wetgeving en bedrijfsdoelstellingen naar een informatiebeveiligingsbeleid;
  • rapporteert aan het bestuur hoe het lijnmanagement het informatiebeveiligingsbeleid implementeert en op welke wijze wordt voldaan aan de BIO, om ervoor zorg te dragen dat de bestuurder geïnformeerde besluiten kan maken over de behandeling van informatiebeveiligingsrisico’s;
  • is uitdrukkelijk niet verantwoordelijk voor informatiebeveiliging door het lijnmanagement.

12.4 Interne toezichthouder

Een bestuurder ziet toe op de toepassing van informatiebeveiliging binnen de entiteit. Een interne toezichthouder kan helpen bij dit toezicht.

13. Leveranciers

Leveranciers bieden diensten en/of producten aan entiteiten. Een entiteit blijft zelf verantwoordelijk voor het behandelen van risico’s die betrekking hebben op de uitbestede of ingekochte dienst of product.

Afhankelijk van het risico behoren daarom verplichtingen van de overheid die volgen uit de BIO of uit andere richtlijnen te worden meegenomen bij het samenstellen van inkoopeisen aan leveranciers.

14. Informatiebeveiligingsprincipes

Overheidsmaatregelen worden risicogericht toegepast en geoperationaliseerd. Daarbij is het praktisch om informatiebeveiligingsprincipes te definiëren en toe te passen zoals security by design & default, toegang op basis van need to know, assume breach, zero trust, dingen gaan fout, defense in depth et cetera.

15. Operationaliseren maatregelen/balans in de maatregelenset

De BIO bevat maatregelen op tactisch niveau, die geoperationaliseerd worden. Hierbij is het belangrijk om in de maatregelenset balans te houden tussen:

  • Beschikbaarheids-, integriteits- en vertrouwelijkheidsmaatregelen
  • Organisatorische/proces-, menselijke/gedrags- en applicatieve/technische maatregelen
  • Identificeren, beschermen, detecteren, reageren en herstellen

16. Treffen aanvullende maatregelen

Overheden kennen verschillende soorten informatie. Het is aan de entiteit zelf om te bepalen welk typen informatie zij verwerkt en welke aanvullende beveiligingsmaatregelen getroffen moeten worden. Bij deze afweging worden in ieder geval - en niet uitsluitend - de volgende typen gegevens afgewogen:

  • Open data
  • (Bijzondere) persoonsgegevens
  • Gevoelige of interne informatie
  • Gerubriceerde informatie

17. Impact van risico’s

De impact van een informatiebeveiligingsincident hangt sterk af van de context. Entiteiten ondervinden vaak specifieke gevolgen door hun rol in de samenleving en democratie, hun bestuursstijl en hun verhouding tot de burgers. Bij het bepalen van de impact worden minimaal onderstaande impactsgebieden afgewogen:

  • Politieke schade aan een bestuurder
  • Diplomatieke schade
  • Financiële gevolgen
  • Directe imagoschade
  • Verlies van publiek respect of vertrouwen
  • Organisatiebrede negatieve publiciteit
  • Significant verlies van motivatie van medewerkers
  • Belangrijk verlies van management control De impactgebieden kunnen ook bijdragen aan begrip bij de uitwisseling van impact met ketenpartners.

18. Relatie BIO en andere onderwerpen

De BIO richt zich op informatiebeveiliging. Onderwerpen zoals privacybescherming, informatievoorziening, beheersprocessen, bedrijfscontinuïteit zijn aanpalend aan informatiebeveiliging. Voor deze onderwerpen zijn vaak aparte standaarden opgezet. Deze onderwerpen worden daarom niet uitgewerkt in de BIO. Daar waar nuttig wordt verwezen naar deze separate standaarden.