DE 
NL 
EN 
Von BIO 1.04 zu BIO 2.0
Für die Regierung gibt es seit dem 1. Januar 2019 die Baseline Information Security Government (BIO), die zusätzliche Anforderungen für die Regierung zu ISO27001:2017 enthält. Seit 2022 gibt es eine neue Version der ISO27001-Norm, bei der vor allem die Kontrollmaßnahmen in Anhang A aktualisiert wurden. Die neue BIO 2.0 steht im Einklang mit dieser Norm. BIO 2.0 wird voraussichtlich im Laufe des Jahres 2025 veröffentlicht werden.
Tipp: auf der Website bio-regierung.de das BIO 2.0-Handbuch steht bereits zum Download bereit.
NIS2 und BIO 2.0
In der neuen NIS2, die in den Niederlanden in das Cyber Command Act (CBW) übersetzt wird, wurden staatliche Stellen (Ministerien, Provinzen, Gemeinden und Wasserverbände) als wesentliche Organisationen bezeichnet. Darüber hinaus wird die BIO als spezifische Maßnahme für staatliche Stellen bezeichnet. Dadurch wird die BIO rechtlich verankert und somit zu einer Verpflichtung. Wesentliche Organisationen werden von den Aufsichtsbehörden proaktiv auf die Einhaltung dieses Gesetzes überprüft. Für staatliche Stellen ist dies die Rijksinspectie Digitale Infrastructuur (RDI).
Jüngsten Berichten zufolge wird das Cybersicherheitsgesetz (CBW) im zweiten Quartal 2025, kurz vor der Sommerpause, veröffentlicht werden. Von diesem Zeitpunkt an werden die Regierungen also gesetzlich verpflichtet sein, das Cybersicherheitsgesetz und damit auch die BIO einzuhalten. Es gibt also keine Übergangsfrist.
Prüfung der Nullmessung in Regierungen
Auf der Grundlage des neuen BIO 2.0 bietet DigiTrust ein spezielles BIO 2.0-Grundlagenaudit für Regierungen an. Der DigiTrust-Auditor wird nach dem Audit einen klaren Bericht erstellen. Darin wird für jedes BIO-Thema deutlich aufgezeigt, wo Ihre Organisation die Anforderungen bereits erfüllt und wo noch nicht. Sie können diesen Bericht für Ihre Rechenschaftspflicht gegenüber der Rijksinspectie Digitale Infrastructuur (RDI) verwenden, aber auch als Grundlage für Ihren eigenen Verbesserungsplan.
Verschiedene Basismessungen für Ihre Organisation
Art der Prüfung Tage
- ISO27001:2022 Baseline-Messung 3
- BIO 2.0-Basismessung (nur bei zusätzlichen BIO-Anforderungen) 2
- Kombinierte Basislinienmessung 4
Bitte beachten Sie: In Ihrem ENSIA-Bericht über DigiD und Suwinet wird ein registrierter EDV-Auditor (RE) bewerten, ob die spezifischen Kontrollmaßnahmen für diese Produkte wirksam sind. Alle anderen BIO-Kontrollmaßnahmen werden auf der Grundlage einer Selbstauskunft bewertet und festgelegt. Mit anderen Worten: Sie haben keine unparteiische und objektive Rechenschaftspflicht über das gesamte BIO und darüber, ob Sie ein funktionierendes ISMS haben. Und das ist eine Anforderung der NIS2/CBW, dass Sie dies nachweisen können. Mit dem Audit von DigiTrust können Sie dies nachweisen.
Lieferanten BIO 2.0 'in control statement'
Als Unternehmen sind Sie dafür verantwortlich, die Risiken für Ihr Unternehmen zu ermitteln und zu mindern. Organisationen, die dem Cybersicherheitsgesetz (CBW) unterliegen, müssen Abhängigkeitsverhältnisse mit direkten (relevanten) Lieferanten oder Dienstleistern identifizieren. Es ist daher wichtig, angemessene Vorkehrungen zu treffen und die Risiken im Auge zu behalten und sie gegebenenfalls auf ein "tolerierbares" Risiko zu begrenzen.
Dabei verlangt BIO ausdrücklich, dass die entsprechenden Lieferanten auch BIO-konform sein müssen. Es ist daher wichtig, dass Sie dies nachweisen können.
Um zu beurteilen, ob Ihre Lieferanten die BIO-Vorschriften einhalten, bietet DigiTrust ein spezielles Audit an: die BIO In Control Declaration. (BIO-ICV). Während dieses zweitägigen Audits beurteilen wir, ob Ihr Lieferant tatsächlich BIO 2.0 einhält. Wir gehen davon aus, dass Ihr Lieferant bereits nach ISO27001 zertifiziert ist und akkreditiert wurde.
BIO 2.0: Maßnahmen ergreifen
Für Ihr Unternehmen und Ihre kritischen Lieferanten ist es von entscheidender Bedeutung zu wissen, wo Sie in Bezug auf die Einhaltung von BIO 2.0 stehen. Dann können Sie noch Maßnahmen ergreifen, bevor die FEI vor Ihrer Tür steht.
Bitte kontaktieren Sie uns, damit wir Sie rechtzeitig einplanen können.
088-2245600
