De Baseline Informatiebeveiliging Overheid (BIO) is het normenkader voor informatiebeveiliging bij alle Nederlandse overheden. Met de komst van BIO2 wordt dit kader gemoderniseerd en aangescherpt. Wat verandert er precies en wat betekent dit voor overheidsorganisaties en hun leveranciers?

Wat is de BIO? De BIO is gebaseerd op ISO 27001/27002 en geldt voor Rijk, gemeenten, provincies en waterschappen. Alle overheidslagen zijn verplicht de BIO toe te passen.

Waarom BIO2?

De huidige BIO is gebaseerd op ISO 27002:2017. Met de publicatie van ISO 27002:2022 zijn de controls volledig herstructureerd — van 114 controls in 14 categorieën naar 93 controls in 4 thema's. BIO2 volgt deze modernisering en brengt aanvullende verbeteringen:

  • Alignment met ISO 27002:2022 — nieuwe structuur en terminologie
  • Betere aansluiting op NIS2/Cyberbeveiligingswet — de eisen worden aangescherpt
  • Meer nadruk op OT-security — overheidsorganisaties met industriële systemen (waterschappen, energiebedrijven) krijgen specifiekere eisen
  • Versterkte supply chain eisen — leveranciers moeten aan strengere beveiligingseisen voldoen

Belangrijkste wijzigingen

1. Nieuwe controlestructuur

De 4 nieuwe thema's in ISO 27002:2022 (en daarmee BIO2) zijn:

  • Organisatorische controls (37 controls) — beleid, rollen, risicomanagement
  • Menselijke controls (8 controls) — screening, awareness, verantwoordelijkheden
  • Fysieke controls (14 controls) — toegang, apparatuur, omgevingsbeveiliging
  • Technologische controls (34 controls) — encryptie, logging, netwerk, development

2. Nieuwe controls

BIO2 introduceert controls die in de oude versie ontbraken:

  • Threat intelligence — actief dreigingsinformatie verzamelen en toepassen
  • Cloud security — specifieke eisen voor cloudgebruik
  • Data masking — bescherming van gevoelige gegevens in test- en ontwikkelomgevingen
  • Monitoring — continue bewaking van netwerken, systemen en applicaties
  • Secure coding — beveiligingseisen in de softwareontwikkeling

3. Aangescherpte verantwoording

BIO2 legt meer nadruk op aantoonbare naleving. Het is niet meer voldoende om beleid te hebben — u moet kunnen aantonen dat het beleid wordt uitgevoerd, gemonitord en bijgestuurd. Dit sluit aan bij de NIS2-eis van bestuurdersaansprakelijkheid.

Let op voor leveranciers: Overheidsorganisaties die BIO2 implementeren, zullen strengere eisen stellen aan hun leveranciers. Als u diensten of producten levert aan de overheid, bereid u dan voor op aangescherpte beveiligingseisen in aanbestedingen.

Wat moet u nu doen?

  • Gap-analyse: vergelijk uw huidige BIO-implementatie met de BIO2-eisen
  • ISO 27002:2022 mapping: breng uw bestaande controls in lijn met de nieuwe structuur
  • Nieuwe controls implementeren: threat intelligence, cloud security en monitoring zijn nu verplicht
  • Documentatie bijwerken: beleid, procedures en risicoanalyses moeten de nieuwe structuur volgen
  • OT-assessment: als uw organisatie industriële systemen beheert, voer een OT-specifieke risicoanalyse uit

Hulp nodig bij de BIO2-transitie?

Resotech begeleidt overheidsorganisaties en hun leveranciers bij de transitie naar BIO2, inclusief gap-analyse, implementatie en auditvoorbereiding.

Plan een gesprek   Onze audit-dienst