Disclaimer

Op dit moment wordt de BIO2 versie 1.2 in GitHub vervangen door versie 1.3 van 09 januari 2026. De BIO2 versie 1.3 in de GitHub-omgeving heeft geen formele status. De inhoud van dit document kan afwijken van de formele documentatie. De officiële versie van de BIO2 is beschikbaar via de BIO-website._

DEEL 2 BIO–OVERHEIDSMAATREGELEN

Deel 2 van de BIO bevat alle overheidsmaatregelen. Deze maatregelen zijn gekoppeld aan de beheersmaatregelen uit NEN-EN-ISO/IEC 27002:2022. De eerste drie cijfers uit elke overheidsmaatregelnummer verwijst naar de bijbehorende beheersmaatregel uit deze norm. De navolgende nummers zijn het unieke volgnummer van de overheidsmaatregel. Grijs gemarkeerde overheidsmaatregelen met bijbehorende beheersmaatregelen vallen niet onder de reikwijdte van de Cbw. Hiervoor geldt verplichtende zelfregulering.

Er bestaan beheersmaatregelen zonder overheidsmaatregelen.

Als een dergelijke beheersmaatregel van toepassing is, wordt gebruik gemaakt van de bijbehorende implementatierichtlijn uit NEN-EN-ISO/IEC 27002. Afwijken of niet toepassen van de bovenliggende beheersmaatregel wordt onderbouwd met een risicoanalyse. De referentie naar deze analyse is in een bijlage uitzonderingen opgenomen in de Verklaring van Toepasselijkheid (VvT).

Een beheersmaatregel kan een of meerdere overheidsmaatregelen hebben.

Deze overheidsmaatregelen vormen de verplichte minimale invulling van de beheersmaatregel. Uit een risicoanalyse blijkt of deze voldoende zijn om het risico te beheersen en tot een acceptabel niveau verlagen.

5.01.01

De entiteit heeft een informatiebeveiligingsbeleid opgesteld en vastgesteld door het bestuur van de entiteit. Dit beleid bevat ten minste de volgende punten:

• De strategische uitgangspunten en randvoorwaarden die de entiteit hanteert voor informatiebeveiliging en in het bijzonder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid.

• De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden.

• De toewijzing van de verantwoordelijkheden en samenhang van informatiebeveiliging voor ketens van informatiesystemen, de beveiliging van OT, privacybescherming en de verantwoordelijkheden voor de continuïteit van de taakuitvoering van entiteit (BCM) aan lijnmanagers.

• De gemeenschappelijke betrouwbaarheidseisen en normen die op de entiteit van toepassing zijn.

• De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd.

• De bevordering van het beveiligingsbewustzijn.

5.01.02

Het informatiebeveiligingsbeleid wordt minimaal jaarlijks en in aansluiting bij de bestuurs- en Planning & Control (P&C)cycli en externe ontwikkelingen beoordeeld en zo nodig bijgesteld.

5.02.01

Het bestuur van de entiteit heeft vastgelegd en vastgesteld:

• wat de verantwoordelijkheden en rollen zijn voor informatiebeveiliging, privacybescherming, operationele technologie (OT), bedrijfscontinuïteitsmanagement (BCM) binnen haar entiteit;

• de samenhang voor informatiebeveiliging, de beveiliging van OT, de continuïteit van de taakuitvoering en BCM van de entiteit. Bij het definiëren en toewijzen van rollen en verantwoordelijkheden is specifieke aandacht voor het adequaat afhandelen van incidenten. Lijnmanagers en proceseigenaren die verantwoordelijk zijn voor bedrijfsmiddelen zijn ook verantwoordelijk voor de behandeling van risico’s die op die bedrijfsmiddelen van toepassing zijn.

5.02.02

Er is een CISO aangesteld die bevoegd is om onafhankelijk en zelfstandig te adviseren en te rapporteren aan het bestuur en of het controlerend orgaan over informatiebeveiliging.

5.03.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.04.01

Het bestuur en de werknemers volgen regelmatig scholing, om cyberbeveiligingsrisico’s te herkennen en te voorkomen en te weten wat men moet doen als er een informatiebeveiligingsincident is. Daarbij tonen bestuurders an dat zij voldoende kennis en vaardigheden hebben om de gevolgen van informatiebeveiligingsrisico’s te beoordelen op de diensten en/of producten die de entiteit levert.

5.04.02

Verplaatst naar 5.10.02.

5.04.03

Verplaatst naar 5.10.03.

5.05.01

De entiteit heeft uitgewerkt welke functionarissen met welke (overheids)instanties en toezichthouders formele contacten hebben over informatiebeveiliging. Dit overzicht wordt ten minste jaarlijks geactualiseerd.

5.06.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.07.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.08.01

Bij nieuwe informatiesystemen en bij significante wijzigingen op bestaande informatiesystemen wordt een expliciete risicoafweging op basis van een vastgestelde risicomanagementmethodiek uitgevoerd, om risico’s te identificeren en in voldoende mate te beheersen en ook voor het vaststellen van de beveiligingseisen.

5.09.01

Er is een inventaris van bedrijfsmiddelen die van belang zijn voor informatieverwerking, met inbegrip van OT.

De inventaris omvat alle eigenschappen die nodig zijn voor het beheer en onderhoud. In de inventaris zijn ook opgenomen: bedrijfsmiddelen op afstand, cloud-omgevingen en bedrijfsmiddelen die regelmatig zijn verbonden met de netwerkinfrastructuur maar niet onder controle van de entiteit staan.

De volledigheid en actualiteit van de inventaris wordt periodiek gecontroleerd met tussenpozen die passend zijn voor de frequentie waarmee wijzigingen optreden.

5.10.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.10.02

De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel en vrijwilligers in het contract vastgelegd volgens de huisregels of interne gedragsregels.

5.10.03

Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van bedrijfsmiddelen.

5.11.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.12.01

Informatie in alle informatiesystemen wordt met een expliciete risicoafweging geclassificeerd.

Hierbij wordt gebruik gemaakt van een vastgestelde impactclassificatiemethodiek die onderdeel is van de vastgestelde risicomanagementmethodiek.

5.13.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.14.01

Internetfacing-informatiesystemen en e-mail berichtenverkeer blijven voldoen aan de verplichte beveiligingsstandaarden, zie hiervoor de website van het Forum Standaardisatie en het Cyberbeveiligingsbesluit.

Hierop wordt gestuurd met de metingen van internet.nl.

Daarbij dienen alle onderdelen te worden ingesteld zodat een optimale beveiliging wordt bereikt zonder afbreuk te doen aan de functionaliteit van de geboden dienst.

5.14.02

De entiteit maakt bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated (OV)-certificaten.

De entiteit maakt bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV certificaten of private PKIo-certificaten.

Hogere eisen aan certificaten vloeien voort uit een risicoanalyse, aansluitvoorwaarden of wetgeving.

5.14.03

Geavanceerde en/of gekwalificeerde elektronische handtekeningen voldoen aan de Advanced Electronic Signatures (AdES Baseline Profiles), zoals opgenomen in de Lijst open standaarden van Forum Standaardisatie.

5.14.04

Van alle internetfacing-informatiesystemen, webapplicaties, IP-adressen en API’s is er een actuele registratie.

5.14.05

Publiek toegankelijke websites worden bekend gemaakt via het Register Internetdomeinen Overheid (RIO).

Deze informatie wordt ten minste iedere zes maanden geactualiseerd.

5.15.01

Toegang tot een vertrouwde zone is toegestaan in twee situaties:

1. vanaf geauthentiseerde apparatuur of;
2. vanuit programmatuur die draait binnen een veilige schil.

5.16.01

Er is een sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties.

5.16.02

Het gebruiken van groepsaccounts is niet toegestaan, tenzij de proceseigenaar dit motiveert, vastlegt en afstemt met de CISO.

5.17.01

De entiteit past multi-factorauthenticatie (MFA) ten minste toe voor het primaire aanloggen op de digitale werkomgeving, bij accounts voor via het internet bereikbare voorzieningen en accounts die beheerrechten hebben en in andere situaties waar uit de risicoanalyse blijkt dat dit een passende oplossing is.

De entiteit past MFA toe in deze twee vormen: 1. Wachtwoordloze toegang, zoals een pincode in combinatie met een hardware token of persoonlijk uniek certificaat (passkey). 2. Wachtwoordtoegang in combinatie met minimaal een tweede factor.

Indien MFA niet mogelijk is voor deze accounts, worden andere mitigerende maatregelen genomen. Bij het nemen van mitigerende maatregelen wordt de CISO betrokken.

De proceseigenaar keurt de mitigerende maatregelen goed. Waar mogelijk en veilig wordt MFA met federatieve authenticatievoorzieningen zoals Single Sign On en een Stepping Stone-oplossing worden gecombineerd toegepast. Voor beheer en monitoring van authenticatiegegevens:

• wordt authenticatie-informatie uitgegeven met formele vastgestelde procedures, nadat de identiteit van de gebruiker met voldoende zekerheid is vastgesteld;

• worden Use Cases voor misbruik van authenticatiegegevens gedefinieerd, worden deze gemonitord en wordt passende actie ondernomen bij het optreden ervan. Deze Use Cases omvatten in ieder geval inlogpogingen van ongebruikelijke plekken en pieken in mislukte inlogpogingen.

5.17.02

De entiteit biedt aan alle medewerkers een wachtwoordmanager of vergelijkbare oplossing aan.

5.17.03

De eisen aan wachtwoorden worden geautomatiseerd afgedwongen.

5.18.01

Het maken en aanpassen van accounts met bijzondere rechten wordt gemonitord. Indien deze wijzigingen ongeautoriseerd zijn, is dit een informatiebeveiligingsincident en wordt dat als zodanig vastgelegd en afgehandeld.

5.18.02

Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld. Een risicoafweging bepaalt of dit sneller moet.

5.19.01

Bij offerteaanvragen waar informatie(voorziening) een rol speelt, zijn informatiebeveiligingseisen waaronder de beschikbaarheid, integriteit en vertrouwelijkheid, onderdeel van het hele pakket aan inkoopeisen.

De informatiebeveiligingseisen zijn gebaseerd op een expliciete risicoafweging.

5.20.01

De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in (inkoop)contracten waar de verwerking van informatie een rol speelt.

5.20.02

Waar mogelijk worden algemene voorwaarden van leveranciers expliciet uitgesloten en worden eventueel aanvullende voorwaarden opgenomen. Als uitsluiten niet mogelijk is, worden risico’s beoordeeld.

Expliciet is gemaakt welke consequenties geaccepteerd worden, welke gemitigeerd zijn en welke voorwaarden niet of nooit geaccepteerd worden bij het aangaan van de overeenkomst.

5.20.03

In het inkoopcontract wordt opgenomen dat de leverancier aantoont dat hij aan alle gestelde eisen voldoet in opzet, bestaan en werking, op basis van onderzoeken van onafhankelijke derden.

Deze onderzoeken hebben een scope die dekkend is voor de gecontracteerde dienstverlening. Hierbij is expliciet aandacht voor de toeleveringsketen en hoe de leverancier zijn leveranciersmanagement ingeregeld heeft, zie overheidsmaatregel 5.21.01.

Dit toont de leverancier jaarlijks opnieuw aan.

5.20.04

De entiteit voert zelfstandig onderzoek uit, ook ter validatie van de rapportages die de leverancier aanlevert.

Om dit mogelijk te maken, wordt expliciet opgenomen dat er een mogelijkheid is voor een externe audit.

Indien uit het voorgaande restrisico’s volgen, beheerst de entiteit deze door het toepassen van zijn vastgestelde risicomanagementmethodiek.

5.20.05

Onderdeel van de afspraken is dat de leverancier transparant is over kwetsbaarheden in de dienstverlening en informatiebeveiligingsincidenten waaronder datalekken. Dit stelt de entiteit in staat om passend te reageren onder meer door te rapporteren en mitigerende maatregelen te nemen.

5.20.06

Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is.

Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie.

5.21.01

Vervallen.

5.21.02

Voorafgaand aan het afsluiten van de overeenkomst geeft de leverancier inzicht in de keten van toeleveranciers en eventuele risico’s daarin. De entiteit beoordeelt of de risico’s acceptabel zijn.

5.21.03

De entiteit borgt dat de beveiligingseisen aan de leverancier onverminderd van toepassing zijn op de keten van toeleveranciers, tenzij die eisen niet relevant zijn gezien de aard van de dienstverlening door de toeleverancier. Indien informatiebeveiligingseisen zijn uitgesloten, maakt de leverancier dat inzichtelijk, inclusief een ònderbouwing.

5.21.04

Gedurende de looptijd geeft de leverancier veranderingen in de keten van toeleveranciers door, inclusief risico’s daarin. Dit omvat minimaal kwetsbaarheden en informatiebeveiligingsincidenten die de dienstverlening aan de entiteit kunnen raken.

5.21.05

De beveiliging van toeleveringsketens is onderdeel van de risicoanalyse voor de entiteit. In de risicoanalyse wordt rekening gehouden met:

• specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener;

• de algemene kwaliteit van de producten;

• de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures.

5.22.01

Op basis van het door de leverancier aangeleverde bewijsmateriaal, zie overheidsmaatregel 5.20.03, is de proceseigenaar verantwoordelijk voor:

• het jaarlijks beoordelen dat de leverancier voldoet aan de gestelde informatiebeveiligingseisen;

• het vaststellen van eventuele beveiligingsrisico’s;

• het (laten) nemen van mitigerende maatregelen en het accepteren van rest-risico’s.

5.22.02

De entiteit heeft een actuele registratie van leveranciers en afgesloten contracten.

5.23.01

De entiteit stelt beleid op dat toeziet op het inventariseren, classificeren, selecteren, beoordelen en managen van Cloud Service Providers (CSP) en het beëindigen van dienstverlening door CSP’s en past dat toe.

Dit beleid wordt minimaal eens per drie jaar herzien.

In de inkoopcontracten wordt opgenomen welke situaties aanleiding kunnen geven tot ontbinding van het contract.

Wanneer zich belangrijke wijzigingen bij de leverancier optreden, beoordeel de risico’s daarvan en neem passende maatregelen.

5.24.01

Er is voor alle interne en externe medewerkers een toegankelijk meldloket waar informatiebeveiligingsincidenten kunnen worden gemeld en geregistreerd.

5.24.02

Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan beschreven.

5.24.03

De proceseigenaar is verantwoordelijk voor het oplossen van informatiebeveiligingsincidenten.

5.24.04

De proceseigenaar rapporteert maandelijks de opvolging van informatiebeveiligingsincidenten aan de eindverantwoordelijke voor de bedrijfsvoering.

5.24.05

In de procedure voor informatiebeveiligingsincidenten is er een verwijzing gemaakt naar de procedure voor crisisbeheersing.

5.24.06

Verplaatst naar 5.21.05.

5.24.07

De incidentprocedure bevat tenminste:

• dat binnen de wettelijke termijn informatiebeveiligingsincidenten worden gemeld bij het Cyber Security Incident Response Team (CSIRT);

• dat meldingen van het CSIRT worden ontvangen, beoordeeld en opgenomen in de risicobehandeling;

• dat betrokkenen binnen de wettelijke termijn op de hoogte gesteld worden van het incident.

5.24.08

Een Coordinated Vulnerability Disclosure (CVD)-procedure is ingericht en gepubliceerd volgens de NCSC-leidraad of NEN-EN-ISO/IEC 29147:2020 Vulnerability disclosure. Informatie afkomstig uit de Coordinated Vulnerability Disclosure (CVD)-meldingen is onderdeel van de incidentrapportage.

5.25.01

Verplaatst naar 5.26.02.

5.26.01

Verplaatst naar 5.25.02.

5.26.02

Informatiebeveiligingsincidenten worden afgedaan via het incidentbeheerproces.

In het incidentbeheerproces is opgenomen dat incidenten indien relevant gemeld worden bij de in wet- en regelgeving aangewezen toezichthouders.

5.27.01

Informatiebeveiligingsincidenten worden geanalyseerd om achterliggende oorzaken vast te stellen, verbeteringen te realiseren, om zo toekomstige incidenten te voorkomen.

5.27.02

De analyses van informatiebeveiligingsincidenten, inclusief de achterliggende oorzaken en de verbeteringen worden breed gedeeld met relevante partners om herhaling en toekomstige incidenten te voorkomen.

5.28.01

De bewaartermijn van een (vermoedelijk) informatiebeveiligingsincident en alle informatie om het incident te analyseren en op te lossen, is minimaal drie jaar. Dit betreft onder meer de informatie benodigd voor de analyse waaronder logging, de oplossing en het advies.

5.29.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.30.01

De proceseigenaar test jaarlijks continuïteitsplannen op werking, volledigheid en actualiteit, om de plannen te verbeteren.

5.30.02

Binnen de inventarisatie van beheersmaatregel 5.12 uit NEN-EN-ISO/IEC 27002:2022, identificeert de proceseigenaar kritieke systemen op basis van de vastgestelde risicomanagementmethodiek en een expliciete risicoafweging. De proceseigenaar actualiseert dit overzicht ten minste eens per drie jaar.

5.31.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.32.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.33.01

De proceseigenaar heeft voor alle informatie(systemen) in selectielijsten de bewaartermijn vastgelegd, rekening houdend met de eigen bedrijfsdoelstellingen en wet- en regeling, zoals de archiefwet en privacywetgeving. De proceseigenaar heeft deze termijnen ook praktisch ingeregeld en toetst periodiek de werking hiervan.

5.34.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

5.35.01

Vervallen.

5.35.02

Er is een vastgesteld auditplan waarin jaarlijks keuzes worden gemaakt voor welke systemen welk soort beveiligingsaudits worden uitgevoerd.

5.36.01

In de P&C-cyclus en als onderdeel van de plan-do-check-act (PDCA)-cyclus wordt gerapporteerd over informatiebeveiliging onder coördinatie van de CISO. Dit resulteert in een jaarlijks af te geven In Control Verklaring (ICV), of een vergelijkbaar instrument, over de gehele informatiebeveiliging van de entiteit. De ICV of het vergelijkbare instrument kan ook onderdeel zijn van de formele verantwoording.

5.37.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

6.01.01

Elke entiteit heeft een vastgesteld screeningsbeleid.

Bij indiensttreding en bij functiewijziging kan op basis van een risicoafweging een Verklaring Omtrent het Gedrag (VOG) gevraagd worden.

6.02.01

Alle medewerkers (intern en extern) zijn bij hun aanstelling of functiewisseling gewezen op hun verantwoordelijkheden voor informatiebeveiliging.

De voor hen geldende regelingen en instructies voor informatiebeveiliging zijn eenvoudig toegankelijk.

6.03.01

Alle medewerkers, lijnmanagers en bestuurders hebben de verantwoordelijkheid bedrijfsinformatie te beschermen. Iedereen kent de regels van en verplichtingen voor informatiebeveiliging en daar waar relevant de speciale eisen voor gerubriceerde omgevingen.

6.03.02

Alle medewerkers en contractanten die gebruikmaken van informatiesystemen en -diensten hebben binnen drie maanden na indiensttreding aantoonbaar een training I-bewustzijn succesvol gevolgd.

6.03.03

Het management benadrukt bij aanstelling en interne overplaatsing en bijvoorbeeld in werkoverleggen of in personeelsgesprekken bij zijn medewerkers en contractanten het belang van opleiding en training voor informatiebeveiliging. Het management stimuleert hen actief deze periodiek te volgen.

6.03.04

In bewustwordingsprogramma’s komen gedragsaspecten van veilig mobiel werken aan de orde.

6.04.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

6.05.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

6.06.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

6.07.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

6.08.01

Alle medewerkers (intern en extern) hebben aantoonbaar kennisgenomen van de meldingsprocedure van informatiebeveiligingsincidenten.

7.01.01

Vervallen.

7.01.02

Kritieke informatie of informatiesystemen zijn nooit via één beveiligde zone te bereiken.

7.02.01

In geval van concrete beveiligingsrisico’s worden waarschuwingen, volgens onderlinge afspraken, verzonden aan de relevante collega’s binnen het beveiligingsdomein van de overheid.

7.03.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.04.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.05.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.06.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.07.01

Bij het gebruik van een chipcardtoken voor toegang tot systemen wordt bij het verwijderen van het token de toegangsbeveiligingsvergrendeling automatisch geactiveerd.

7.08.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.09.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.10.01

In de verwijderinstructie is opgenomen dat van verwijderbare media, die herbruikbaar zijn en de entiteit verlaten, de bedrijfsgevoelige inhoud onherstelbaar verwijderd is.

7.10.02

Er wordt gecontroleerd of alle data op het medium onherstelbaar verwijderd is.

Hiervan wordt verslag gemaakt.

Er wordt waar mogelijk gebruik gemaakt van producten waarvoor de Unit Weerbaarheid van het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) een positief inzetadvies afgegeven heeft.

7.10.03

Het gebruik van koeriers of transporteurs voor transport van geclassificeerde informatie voldoet aan vooraf opgestelde betrouwbaarheidseisen.

7.11.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.12.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.13.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

7.14.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.01.01

Mobiele apparatuur is zo ingericht dat bedrijfsinformatie niet standaard op het gebruikersdevice wordt opgeslagen (‘zero footprint’). Als (near) zero footprint (nog) niet realiseerbaar is, biedt een mobiel apparaat de mogelijkheid om de toegang te beschermen met een toegangsbeveiligingsmechanisme met minimaal versleuteling van de gegevens.

Op mobiele apparatuur is ‘wissen op afstand’ mogelijk.

8.01.02

Bij de inzet van mobiele apparatuur zijn minimaal de volgende aspecten geïmplementeerd:

• Het apparaat maakt deel uit van patchmanagement en hardening.

• Er wordt gebruik gemaakt van Mobile Device Management (MDM)- of Mobile Application Management (MAM)-oplossingen.

• Gebruikers tekenen een gebruikersovereenkomst voor mobiel werken, waarmee zij verklaren zich bewust te zijn van de gevaren van mobiel werken en verklaren dit veilig te zullen doen. Deze verklaring heeft betrekking op alle mobiele apparatuur die de medewerker zakelijk gebruikt.

Periodiek wordt getoetst of deze drie aspecten worden nageleefd.

8.02.01

De toegewezen of gebruikte speciale bevoegdheden worden in opzet, bestaan en werking minimaal ieder kwartaal beoordeeld.

8.03.01

Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen.

8.03.02

Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.

8.04.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.05.01

Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden en voor hoelang de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.

8.06.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.07.01

Het downloaden van bestanden is beheerst en beperkt op basis van het risico en need-of-use. De antimalware-software beoordeelt altijd alle downloads.

8.07.02

Gebruikers zijn voorgelicht over de risico’s van surfgedrag en het klikken op onbekende links.

8.07.03

De gebruikte antimalware-software en bijbehorende herstelsoftware zijn actueel en wordt ondersteund door periodieke updates.

8.07.04

De malwarescan wordt uitgevoerd op:

• alle omgevingen, bijvoorbeeld op (mail)servers, (desktop)computers en bij de toegangsverlening tot het netwerk van de entiteit;

• alle gedownloade content voorafgaand aan executie of opslag;

• alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vóór gebruik of opslag in de eigen omgeving.

8.08.01

Als van een kwetsbaarheidswaarschuwing de kans op misbruik en de verwachte schade beide hoog zijn, worden passende mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen een week getroffen.

8.08.02

Op basis van een expliciete risicoafweging wordt bepaald op welke wijze mitigerende maatregelen getroffen worden.

8.08.03

In de tussentijd of als installatie binnen een week niet mogelijk is, worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.

8.08.04

Informatiesystemen worden waar mogelijk jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teamingstesten. Internetfacing-informatiesystemen worden waar mogelijk continue getest op zwakheden en kwetsbaarheden.

8.08.05

Internetfacing-informatiesystemen hebben een verplichte waar mogelijk geautomatiseerde penetratietest bij iedere nieuwe release of major update. Als daar bevindingen met een hoog risico uitkomen die niet op een andere manier gemitigeerd kunnen worden, mag het systeem niet in productie. Alle internetfacing-informatiesystemen worden minimaal jaarlijks getest op zwakheden en kwetsbaarheden.

8.08.06

Zie overheidsmaatregel 5.24.08.

8.09.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.10.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.11.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.12.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.13.01

Er is een back-upbeleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Er is speciale aandacht voor het beschermen van de back-up tegen ransomware-aanvallen en genomen maatregelen om de integriteit van de back-up te behouden.

8.13.02

Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is en wat de maximale hersteltijd is na een incident.

8.13.03

Het back-upproces voorziet in de opslag van de back-up op een locatie, waarbij een incident op de ene locatie niet kan leiden tot schade op de andere.

8.13.04

De herstelprocedure wordt minimaal jaarlijks getest of na een grote wijziging, om de goede werking te waarborgen als deze in noodgevallen uitgevoerd wordt.

8.14.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.15.01

Een logregel bevat minimaal:

• Actie: de gebeurtenis of handeling die heeft plaatsgevonden.

• Object: waarop de gebeurtenis of handeling effect had (bijvoorbeeld welk bestand, proces of systeem).

• Resultaat: het resultaat van de gebeurtenis of handeling.

• Oorsprong: het apparaat of de netwerklocatie van waaruit de gebeurtenis of handeling in gang is gezet.

• Actor: identificatie van de persoon die of het proces dat de gebeurtenis in gang heeft gezet.

• Tijdstempel: datum en tijdstip waarop de gebeurtenis of handeling plaatsvond.

8.15.02

Een logregel bevat nooit gegevens die tot het doorbreken van de beveiliging kunnen leiden.

8.15.03

Er is een overzicht van logbestanden die worden gegenereerd.

8.15.04

De bewaartermijn van logbestanden en gegevens in het Security Incident en Event Monitoring (SIEM) worden risicogericht bepaald, rekening houdend met het scenario dat aanvallers langdurig binnen zijn.

8.15.05

Oneigenlijk wijzigen, verwijderen of pogingen daartoe van loggegevens worden zo snel mogelijk gemeld als informatiebeveiligingsincident via de procedure voor informatiebeveiligingsincidenten volgens beheersmaatregel 5.24 uit NEN-EN-ISO/IEC 27002:2022.

8.15.06

Op basis van een expliciete risicoafweging bepaalt de entiteit de periodieke toetsing op het ongewijzigd bestaan van logbestanden gedurende de bewaartermijn.

Toetsing wordt uitgevoerd door een ten opzichte van de uitvoering onafhankelijke functionaris.

8.16.01

Bij ontdekte nieuwe dreigingen (aanvallen) via overheidsmaatregel 8.16.3 worden deze binnen geldende juridische kaders verplicht gedeeld met de daarvoor aangewezen Computer Emergency Response Team (CERT).

8.16.02

Het SIEM- en/of het SOC-monitoringsproces hebben eenduidige regels over wanneer een incident wordt gerapporteerd aan het verantwoordelijke management.

8.16.03

Het SIEM- en/of het SOC-monitoringsproces hebben eenduidige regels over wanneer een incident wordt gerapporteerd aan het verantwoordelijke management.

8.16.04

Actieve netwerkcomponenten zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen te kunnen waarnemen en daarop te reageren.

8.17.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.18.01

Alleen bevoegd personeel heeft op die momenten dat toegang strikt noodzakelijk is toegang tot systeemhulpmiddelen.

8.18.02

Het gebruik van systeemhulpmiddelen wordt gelogd.

De logging is een halfjaar beschikbaar voor onderzoek.

8.19.01

Het risico van installatie door gebruikers van niet geautoriseerde software wordt beheerst.

8.20.01

Netwerkcomponenten voldoen minimaal aan het vertrouwelijkheidsniveau van het netwerk waarvan ze onderdeel zijn.

8.20.02

Toegang tot beheerinterfaces van netwerkcomponenten zijn zo veel als mogelijk gescheiden van het gebruikersnetwerk.

8.21.01

In koppelpunten met externe of onvertrouwde zones en vanwege netwerksegmentatie zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden te signaleren en te mitigeren.

8.21.02

Het dataverkeer van of naar de vertrouwde omgeving, wordt bewaakt en geanalyseerd op verdacht verkeer met detectievoorzieningen.

8.21.03

Bij ontdekte nieuwe dreigingen vanuit overheidsmaatregel 8.21.02 worden deze doorgeleid, rekening houdend met de geldende juridische kaders gedeeld binnen de overheid.

8.21.04

Bij transport van gegevens over draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied worden gegevens versleuteld met uitzondering van metagegevens die noodzakelijk zijn om het transport tot stand te laten komen.

De inrichting van de versleuteling is risicogericht en houdt rekening met de noodzakelijke beschermingstermijn en het noodzakelijke beschermingsniveau.

Hierbij wordt waar mogelijk gebruik gemaakt van encryptiemiddelen waarvoor de Unit Weerbaarheid van het NBV van de AIVD een positief inzetadvies heeft afgegeven.

Als de Unit Weerbaarheid geen encryptiemiddelen heeft geadviseerd, wordt in overleg met de CISO een andere geschikte versleutelingsmethodiek gekozen en ingericht.

8.22.01

Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.

8.23.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.24.01

In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

• Wanneer cryptografie ingezet wordt.

• Wie verantwoordelijk is voor de implementatie.

• Wie verantwoordelijk is voor het sleutelbeheer.

• Hoe geregistreerd wordt waar welke cryptografie toegepast wordt.

• Welke normen als basis dienen voor cryptografie en de wijze waarop de passende normen van het Forum Standaardisatie worden toegepast.

• De wijze waarop het beschermingsniveau vastgesteld wordt.

• Bij communicatie tussen entiteiten wordt het beleid onderling vastgesteld.

8.24.02

Cryptografische beheersmaatregelen zijn opgenomen in de inventaris van de bedrijfsmiddelen. Voor alle cryptografische beheersmaatregelen is vastgesteld waar ze worden ingezet, wie ervoor verantwoordelijk is en hoe ze actueel worden gehouden.

8.24.03

Vervallen.

8.24.04

De sterkte van de cryptografie wordt gebaseerd op de actuele adviezen van het NCSC en de Unit Weerbaarheid van het NBV van de AIVD.

8.24.05

Er zijn afspraken over reservecertificaten van een alternatieve leverancier als uit de risicoafweging blijkt dat deze noodzakelijk zijn als onderdeel van gereedheid voor bedrijfscontinuïteit (zie beheersmaatregel 5.30 uit NEN-EN-ISO/IEC 27002:2022).

8.25.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.26.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.27.01

Architectuurprincipes zoals ‘security by design’ en ‘security by default’ voor het ontwerpen van de beveiliging van informatiesystemen worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten over het ontwikkelen van informatiesystemen.

8.28.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.29.01

Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden waar mogelijk geautomatiseerd uitgevoerd. Van de resultaten van de testen wordt verslag gemaakt.

8.30.01

Interne maatregelen voor systeemontwikkeling zijn onverkort van toepassing op uitbestede ontwikkeling, aangevuld met maatregelen die volgen vanuit uitbestedingen.

8.31.01

In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken.

8.31.02

Significante wijzigingen in de productieomgeving worden altijd getest voordat zij in productie gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar kan hiervan worden afgeweken.

8.32.01

In het wijzigingsbeheerproces is minimaal aandacht besteed aan:

• het administreren van wijzigingen, met de resultaten van het testplan;

• een risicoafweging van mogelijke gevolgen van de wijzigingen, inclusief een beschreven rollback-plan;

• de goedkeuringsprocedure voor wijzigingen.

8.32.02

Wijzigingsbeheer vindt plaats op basis van een algemeen geaccepteerd beheerraamwerk.

8.33.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.

8.34.01

Geen overheidsmaatregel, zie inleiding deel 2 BIO-overheidsmaatregelen.