NL 
EN 
DE 
Van BIO 1.04 naar BIO 2.0
Voor de overheid is er sinds 1 januari 2019 de Baseline Informatiebeveiliging Overheid (BIO), met daarin voor de overheid aanvullende eisen op de ISO27001:2017. Sinds 2022 is er een nieuwe versie van de ISO27001 norm, waarbij met name de beheersmaatregelen in de Annex A zijn aangepast. De nieuwe BIO 2.0 sluit hierbij aan. De verwachting is dat in de loop van 2025 de BIO 2.0 zal worden gepubliceerd.
Tip: op de website bio-overheid.nl is de BIO 2.0 handreiking al te downloaden.
NIS2 en de BIO 2.0
In de nieuwe NIS2, die in Nederland wordt vertaald naar de Cyberbeveligingswet (CBW) zijn overheidsinstanties (ministeries, provincies, gemeentes en waterschappen) aangewezen als essentiële organisaties. Daarnaast wordt de BIO als specifieke maatregel voor overheidsinstanties benoemd. Hierdoor krijgt de BIO een wettelijke verankering en dus een verplichting wordt. Essentiele organisaties zullen door inspecties pro-acties worden beoordeeld m.b.t. het voldoen aan deze wet. Voor overheidsinstanties zal dit de Rijksinspectie Digitale Infrastructuur (RDI) worden.
Volgens de meest recente berichten wordt de Cyberbeveiligingswet (CBW) gepubliceerd in Q2 2025, net voor de zomerperiode. Vanaf dat moment is het dus wettelijk verplicht dat overheden voldoen aan de Cyberbeveiligingswet en dus ook aan de BIO. Er is dan ook geen overgangsperiode.
Nul-meting audit bij overheden
DigiTrust heeft, op basis van de nieuwe BIO 2.0, voor overheden een specifieke BIO 2.0 nulmeting audit beschikbaar. De DigiTrust auditor zal na de audit een heldere rapportage opleveren. Hierin zal per BIO onderwerp helder worden waar uw organisatie al voldoet en waar nog niet. Deze rapportage kunt u gebruiken voor uw verantwoording aan de Rijksinspectie Digitale Infrastructuur (RDI), maar ook als basis dienen voor uw eigen verbeterplan.
Verschillende nul-metingen voor uw organisatie
Type audit Dagen
- ISO27001:2022 nul-meting 3
- BIO 2.0 nul-meting (alleen op de aanvullende BIO eisen) 2
- Combinatie nul-meting 4
Let op; in uw ENSIA-verantwoording over DigiD en Suwinet wordt door een Register EDP Auditor (RE) beoordeeld of de specifieke beheersmaatregelen hiervoor effectief zijn. Alle andere BIO beheersmaatregelen worden beoordeeld en vastgesteld op basis van een eigen verklaring. Met andere woorden over de gehele BIO en of u een werkend ISMS heeft, heeft u geen onpartijdige en objectieve verantwoording. En dat is wel een vereiste vanuit de NIS2/CBW, dat u dit kunt aantonen. Met de audit van DigiTrust kunt u zich hierin verantwoorden.
Leveranciers BIO 2.0 ‘in control verklaring’
Als organisatie ben je verantwoordelijk voor het identificeren en beperken van de risico’s voor je organisatie. Organisaties die onder de Cyberbeveiligingswet (CBW) vallen, moeten de afhankelijkheidsrelaties met directe (relevante) leveranciers of dienstverleners in kaart brengen. Het is daarom belangrijk om goede afspraken te maken en zicht te houden op de risico’s en indien nodig, te beperken naar een ’te accepteren’ risico.
De BIO eist daarbij expliciet dat de relevante leveranciers ook aan de BIO moeten voldoen. Het is dus belangrijk dat u dit kunt aantonen.
Om te beoordelen of uw leveranciers aan de BIO voldoen heeft DigiTrust een specifieke audit beschikbaar; de BIO In Control Verklaring. (BIO-ICV). Tijdens deze 2-daagse audit beoordelen we of uw leverancier wel echt voldoet aan de BIO 2.0. We gaan er daarbij vanuit dat uw leverancier al onder accreditatie ISO27001 is gecertificeerd.
BIO 2.0: kom in actie
Het is van cruciaal belang dat u voor uw organisatie én uw kritische leveranciers inzichtelijk heeft waar u staat m.b.t. BIO 2.0 compliance. Dan kunt u nog maatregelen nemen voordat de RDI bij u op de stoep staat.
Neem contact met ons op, zodat we u tijdig kunnen inplannen.
088-2245600
