Verhouding NIS2 en BIO2

BIO2 in ontwikkeling

Dit is een werkversie van de BIO2. De teksten zijn nog niet representatief voor de definitieve versie. De documentatie is alleen bedoeld om mee te kunnen denken. De definitieve versie kan nog wezenlijk veranderen.

De NIS2, oftewel de nieuwe versie van de Netwerk- en Informatiesystemen-richtlijn, wordt momenteel geïntegreerd in de Nederlandse Cybersecuritywet. In de wet worden specifieke eisen gesteld aan alle entiteiten die onder deze richtlijn vallen. Afhankelijk van de sector kunnen er aanvullende eisen worden gesteld. Voor de overheidssector is het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) verantwoordelijk.

De BIO

In lijn met de verplichtingen van NIS2, gebruikt de overheid de Baseline Informatiebeveiliging Overheid (BIO) om haar zorgplicht in te vullen. BZK zal daarom de BIO wettelijk verplicht stellen voor de overheidssector. Al voor de inwerkingtreding van de NIS2 hebben de overheden zichzelf de BIO al verplicht.

NIS2/BIO en NEN-EN-ISO 27002

BZK heeft in samenwerking met de vier overheidslagen onderzocht hoe de NIS2 zich verhoudt tot de NEN-EN-ISO 27002 normen voor informatiebeveiliging. De bevindingen van deze mapping zijn gepubliceerd in een document waarin de NIS2 en NEN-EN-ISO 27002 aan elkaar gekoppeld worden.

Zorgplicht, meldplicht en toezicht NIS2

Het is echter belangrijk te benadrukken dat de beheersmaatregelen en implementatierichtlijnen uit de NEN-EN-ISO 27002 niet altijd volledig zijn. Een deel van deze richtlijnen zal worden opgenomen in de aankomende BIO2, terwijl andere onderdelen zullen worden geïntegreerd in de bovenliggende wetgeving van de NIS2, zoals de regels omtrent meldplicht, de oprichting van Computer Security Incident Response Teams (CSIRT's) en het toezicht. De uitrol en consultatie van de NIS2 zijn momenteel nog in volle gang. De meest acuele informatie over de NIS2 voor de sector overheid is te vinden op digitaleoverheid.nl.