BIO2: Vernieuwde Baseline Informatiebeveiliging Overheid gepubliceerd

Belangrijke wijzigingen in de BIO2

De vernieuwde BIO is gebaseerd op de internationale beveiligingsnormen NEN-EN-ISO/IEC 27001:2022 (NL) en NEN-EN-ISO/IEC 27002:2022 (NL). In de BIO2 is de indeling in de drie basisbeveiligingsniveaus (BBN’s) vervangen door een meer expliciete risicogerichte benadering. Een uitzondering op deze risicogedreven benadering vormen de overheidsmaatregelen die worden genoemd in de BIO2. Deze moeten overheidsorganisaties (wanneer van toepassing) verplicht implementeren. Daarnaast zijn in de BIO2 de verantwoordelijken in het algemeen beschreven, niet langer per beheers- en overheidsmaatregel. 

BIO2 wordt regelgeving

De BIO2 is in lijn gebracht met de NIS2, specifiek artikel 21 over cyberbeveiligingsmaatregelen. Waar de BIO 1.04zv verplichtende zelfregulering is, krijgt de BIO2 een juridische basis. De BIO2 wordt namelijk juridisch gekoppeld aan de Cyberbeveiligingswet (Cbw). Overheidsmaatregelen die hierop aansluiten, zijn in de BIO2 voorzien van het label Basishygiëne.

Deze nieuwe opzet biedt overheidsinstanties het volgende:

• Flexibiliteit en maatwerk door beveiligingseisen aan te passen aan de specifieke behoeften en kwetsbaarheden van de organisatie.
• Actuele en gerichte maatregelen tegen dreigingen als ransomware, in overeenstemming met internationale standaarden.
• Wettelijke verankering van de BIO2 onder de Cyberbeveiligingswet (Cbw), wat zorgt voor een verdergaande juridische verplichting en handhaving van de norm.

NIS2 en de BIO

Uit de NIS2-richtlijn volgt voor overheden een zorgplicht voor informatieveiligheid. De BIO helpt overheden bij het invullen van deze zorgplicht (klik hier voor een mapping van de NIS2 en BIO2). Leveranciers die producten en diensten leveren aan overheidsorganisaties moeten voldoen aan eisen uit de BIO, afhankelijk van het risico, het type dienstverlening en de toegang tot gevoelige informatie. Overheidsmaatregelen 5.20 tot en met 5.24 en 8.05.01 en 8.24.05 beschrijven de eisen die je stelt aan leveranciers.

Wat betekent dit voor uw huidige BIO-certificering?

Vanaf 23 september 2025 tot de inwerkingtreding van de Cyberbeveilingswet (Cbw) hanteren provincies, waterschappen en het Rijk de BIO2 als verplichtende zelfregulering. De BIO 1.04zv komt daarmee te vervallen.

Wat kunt u vanuit Kiwa verwachten ten aanzien van de overgang en toetsing?

Wilt u aantoonbaar voldoen aan de BIO-eisen of bent u op zoek naar een in-control verklaring (ICV)? Het aantoonbaar voldoen aan de BIO is een belangrijke eis voor leveranciers, maar ook voor de overheid zelf. Neem contact met ons op om de mogelijkheden te bespreken.

Vaak wordt een BIO-audit gecombineerd met een ISO 27001, gezien de overlap een logische keuze. Tijdens deze beoordeling worden de aanvullende BIO-beheersmaatregelen beoordeeld. Indien vastgesteld wordt dat een overheidsinstelling deze beheersmaatregelen doeltreffend heeft geïmplementeerd, volgt een in-control verklaring (ICV), waarin wordt bevestigd dat de organisatie aan deze aanvullende beheersmaatregelen voldoet.

Neem contact op met Kiwa om uw certificeringswens te bespreken. Samen bekijken we uw organisatie en behoeften, zodat we u optimaal kunnen begeleiden.