Concept ontwerp BIO2¶
BIO2 in ontwikkeling
Dit is een werkversie van de BIO2. De teksten zijn nog niet representatief voor de definitieve versie. De documentatie is alleen bedoeld om mee te kunnen denken. De definitieve versie kan nog wezenlijk veranderen.
Doel van de BIO2¶
De BIO2 is een verplicht kader om de informatiebeveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen. Invulling daarvan is op basis van risicobeoordeling. Met de BIO2 draagt de overheid bij aan één gezamenlijke taal en een gemeenschappelijk doel voor een basisniveau informatiebeveiliging van de overheid.
Doel van de BIO2 is om de informatiebeveiliging overheidsbreed op een basisniveau1 te brengen. Daarnaast hebben overheidsorganisaties met de BIO2 een instrument in handen om transparant te zijn en te verantwoorden over de invulling van informatiebeveiliging door de organisatie (opzet, bestaan en werking), onder meer naar ketenpartners, toezichthouders en burgers. De BIO draagt bij aan het vertrouwen van ketenpartners in de overheidssector bij gegevensuitwisseling.
Reikwijdte¶
De BIO2 is van toepassing op alle overheden. De BIO zal, als invulling aan de zorgplicht verplicht worden voor de sector ‘Overheid’. Een overheidsinstantie is een essentiële entiteit wanneer de organisatie voldoet aan de defnitie en criteria voor een overheidsinstantie, zoals beschreven in artikel 6, onderdeel 35 van de NIS2-richtlijn. Ministeries, provincies, gemeenten en waterschappen voldoen in ieder geval aan deze criteria.
De BIO2 is de norm voor alle overheidslagen en heeft betrekking op alle informatie(systemen) zowel digitaal als fysiek. Het is belangrijk dat de BIO2 ruimte geeft om de informatiebeveiliging voor alle type omgevingen, waaronder ook operationele technologie (OT) en zorginformatie, van de overheid op een hoger niveau te brengen met behulp van normen en richtlijnen zoals de NEN 7510 en CyberSecurity ImplementatieRichtlijn (CSIR).
De maatregelen uit de BIO2 kunnen ook gebruikt worden om, waar relevant, door een overheidorganisatie als eis2 worden gesteld aan leveranciers en partners.
Basisniveau¶
Het basisniveau van de BIO bestaat uit maatregelen die bescherming bieden tegen dreigingen voor overheden, met uitzondering van geavanceerde dreigingen, zoals Advanced Persistent Threats (APT’s), afkomstig van statelijke actoren of beroepscriminelen.
Voor informatiesystemen die bestand moeten zijn tegen geavanceerde dreigingen van staten of professionele criminelen moeten aanvullende maatregelen worden genomen. Voor de Rijksoverheid is er het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) beschikbaar voor informatie met de rubricering Departementaal Vertrouwelijk (DepV) en Staatsgeheim.
Verplichtingen¶
De BIO2 wordt wettelijk verplicht via de NIS2 (Network and Information Security directive) implementatie in de Cyberbeveiligingswet.
De BIO2 stelt de volgende verplichtingen:
-
NEN-ISO/IEC 27001 moet worden toegepast op het formuleren van eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging en het vaststellen van het toepassingsgebied (de scope) van dit managementsysteem.
-
In lijn met de NEN-EN-ISO 27001 moeten organisaties de volgende processen toepassen: bepalen scope en context van het informatiebeveiligingsmanagementsysteem (ISMS), het tonen van leiderschap en betrokkenheid door het topmanagement, het beoordelen en behandelen van risico’s door middel van risicoanalyses, het vaststellen van beveiligingsdoelstellingen, het toewijzen van de benodigde middelen, het verhogen van bewustzijn en training, het uitvoeren van operationele controles, het monitoren en evalueren van de ISMS-prestaties, het beheren van beveiligingsincidenten en het continu verbeteren van het ISMS.
-
In lijn met de NEN-EN-ISO 27001 moeten organisaties op basis van de 27002 beheersmaatregelen selecteren en dit vastleggen in de verklaring van toepasselijkheid om zo te kunnen transparant aan te geven welke beheersmaatregelen wel of niet van toepassing zijn voor de organisatie.
-
-
NEN-ISO/IEC 27002 moet worden toegepast op het formuleren van beheersmaatregelen, hierbij rekening houdend met de omgeving(en) waarin de informatiebeveiligingsrisico’s gelden. De maatregelen uit de NEN-ISO/IEC 27002 kunnen, waar nodig worden vervangen of gecombineerd met beheersmaatregelen uit andere normen en richtlijnen zoals de NEN 7510 en CSIR.
-
Bij het toepassen van beheersmaatregelen moeten de verplichte overheidsspecifieke maatregelen en richtlijnen uit de BIO2 worden gehanteerd.
Vervallen verplichtingen¶
Met de invoer van de BIO2 komen er ook verplichtingen te vervallen:
-
Basisbeveiligingsniveau (BBN): In de BIO2 worden de basisbeveiligingsniveaus (BBN’s) losgelaten. Uit de evaluatie van de BIO blijkt dat het toepassen van de BBN’s in de hand werkt dat de focus op het classificeren van de individuele systemen op BBN kwam te liggen en daardoor minder op algemeen risicomanagement en de specifieke risico’s voor informatiesystemen. Een managementsysteem met risicobeoordeling is in lijn met doelen uit de NEN-EN-ISO 27001 en de NIS2.
-
Wet- en regelgeving als specifiek doel: Uit de evaluatie van de BIO blijkt voldoen aan wet- en regelgeving als zelfstandig doel voor onduidelijkheid zorgt bij de doelgroep. De BIO2 dekt niet, alle relevante wet- en regelgeving af voor overheden, daarvoor zijn de wetten en regelgeving voor de verschillende overheden te divers. Deze expliciete doelstelling komt daarom niet terug in de BIO2. Verwacht mag worden dat in lijn met risicomanagement een organisatie zelf haar context met de daarin van toepassing zijnde wet- en regelgeving analyseert. Wel wordt, waar relevant, een verwijzing opgenomen naar wet- en regelgeving als die geldt voor de gehele overheid, bijvoorbeeld bij Wdo artikel 3 of een verwijzing naar een standaard uit de Lijst open standaarden van Forum Standaardisatie.
Elementen BIO2¶
Het conceptontwerp van de BIO2 omvat, conform de Harmonized Structure, de volgende elementen):
-
BIO2 inleiding (vergelijkbaar met aan inleiding NEN 7510): De BIO bevat een inleiding waarin de context voor informatiebeveiliging voor de overheid wordt toegelicht. Deze context bepaalt hoe het managementsysteem en de beheersmaatregelen moeten worden ingericht. In de inleiding wordt daarom de context geschetst voor de gehele overheid. Dit is vergelijkbaar met de inleiding van de NEN 7510 waar de context voor een zorgorganisatie en zorginformatie wordt geschetst. Voorbeelden van onderwerpen in de inleiding zijn ISMS, risicomanagement, inrichting van de governance (besturing), relatie tot informatie/beheer/ bedrijfscontinuïteit, soorten overheidsinformatie, aanvullend normen overheidslagen, dreigingen, kwetsbaarheden, en wet- en regelgeving.
-
Eisen 27001: Verwijzing naar de eisen uit de NEN-EN-ISO 27001, waarbij het volgen van de 27001 verplicht is voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm.
-
Beheersmaatregelen: Verwijzing naar de beheersmaatregelen en implementatierichtlijnen uit de NEN-EN-ISO 27002, waarin het selecteren en toepassen van de beheersmaatregelen verplicht is voor overheden. Dit bevat een directe verwijzing en geen kopie van de norm. Een organisatie kan er voor kiezen de normen NEN 7510 en/of CSIR te gebruiken met een gelijkwaardig beveiligingsniveau als beschreven in de ISO 27002.
-
Verplichte overheidsspecifieke beheersmaatregelen en implementatierichtlijnen: De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen definiëren de verplichte maatregelen en richtlijnen die nodig zijn voor de overheid om aan de beheersdoelstelling te voldoen. Dit volgt uit de context die geldt voor de overheid. De BIO volgt de structuur van de 27002 en richt zich daarmee op organisatorische, menselijke, fysieke en technische maatregelen. De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen zijn aanvullend op de NEN-EN-ISO 27002 en dus geen dubbeling ten opzichte van bestaande 27002 maatregelen. De overheidsspecifieke maatregelen en richtlijnen moeten verplicht worden toegepast.
-
De overheidsspecifieke beheersmaatregelen en implementatierichtlijnen van de BIO moeten een toegevoegde waarde hebben voor de overheid als aanvulling op de bestaande maatregelen en implementatierichtlijnen uit de 27002. Een maatregelen of implementatierichtlijn uit de BIO moet meerwaarde leveren op een of meerdere onderstaande categorieën (dit mag overlappen):
-
Basishygiëne: basismaatregelen die passen bij een standaard goede informatiebeveiliging. De hygiënemaatregelen zullen minimaal van het niveau van de cyberhygiëne maatregelen uit de NIS2 volgen.
-
Ketenrisico’s: maatregelen die bijdragen aan het mitigeren van risico’s in de keten van overheden (en andere organisaties), en waarbij gezamenlijk handelen door de overheid nodig is. Een voorbeeld: het Nationaal Detectie Netwerk.
-
Overheidsrisico’s: mitigeren van universele informatiebeveiligsrisico’s die gelden voor de gehele overheid. Een voorbeeld: periodieke herziening beleid.
-
-
Zie ook beschrijving onder kop “Basisniveau” ↩
-
Toelichting: Het gaat hier om het stellen van de BIO als een verplicht normenkader. Aanvullend kan het ook nodig zijn om specifieke maatregelen te laten volgen uit de risicoanalyse die past bij de dienst of product van de leverancier en/of het vereisen van specifieke beveiligingsdiensten door de leverancier, zoals monitoring. De BIO geeft geen invulling aan specifieke situaties. ↩