De BIO2.0 komt er aan: Wat gaat er veranderen?
Auteur: Abe Winters, Security Analyst
Security officers bij overheidsinstanties opgelet: de nieuwe versie van de Baseline Informatiebeveiliging Overheid, BIO2.0, komt eraan. Welke aanvullende maatregelen moet uw organisatie nemen om straks aan deze baseline voor cybersecurity te voldoen? We zetten de verschillen met de BIO1.04 op een rijtje, zodat u zich op deze overgang kunt voorbereiden.
Wat is de BIO?
De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader om alle Nederlandse overheidsinstanties op een gezamenlijk niveau van informatiebeveiliging te brengen. De huidige versie, de BIO1.04, is gebaseerd op de NEN-ISO/IEC 27001 en 27002 uit 2017. In 2022 is een nieuwe versie van de ISO 27001 en 27002 gepubliceerd. Dat is een van de redenen om de BIO2.0 te ontwikkelen.
Aan de hand van onder andere een evaluatie van de BIO1.04 en workshops met de overheden is als resultaat een concept gepubliceerd. In dit artikel vergelijken we de huidige BIO1.04 met het concept voor de BIO2.0 en zetten de belangrijkste verschillen op een rijtje. Hierbij moet de opmerking gemaakt worden dat de BIO2.0 teksten nog in conceptfase zijn en dus kunnen nog veranderen.
High-level verschillen
Wettelijke verankering via de NIS2-implementatie
Organisaties die onder de NIS2-richtlijn vallen krijgen te maken met een zorgplicht, zo ook overheden. Om de NIS2 ook op overheidsniveau te implementeren, is in 2023 besloten om de oplevering van de BIO2.0 te koppelen aan de nationale wetgeving die op basis van NIS2 in werking zal treden. De BIO2.0 zal dan ook via de NIS2-implementatie in de Cyberbeveiligingswet wettelijk verankerd en daarmee binnenkort verplicht worden (waarschijnlijk in de loop van 2025). Zie onze praktische NIS2 gids voor meer informatie over NIS2.
Loslaten basisbeveiligingsniveau's
De basisbeveiligingsniveau’s (BBN’s) worden losgelaten in de BIO2.0. Uit de evaluatie van de BIO1.04 blijkt dat de focus te veel kwam te liggen op het classificeren van individuele systemen op BBN en daarmee minder op algemeen risicomanagement. Om de aandacht terug te brengen naar risicomanagement worden de BBN’s daarom losgelaten.
ISO 27002 van 2017 naar 2022
De BIO volgt de indeling van de ISO 27002. Deze standaard heeft eind 2022 een update gekregen, namelijk de ISO 27002:2022. Deze nieuwe versie brengt meerdere wijzigingen met zich mee, zowel op de inhoud als de indeling. Waar controls voorheen georganiseerd waren in veertien hoofdstukken, zijn deze nu teruggebracht naar de volgende vier hoofdstukken:
- A5: Organisatorisch
- A6: Mensgericht
- A7: Fysiek
- A8: Technologisch
Deze hoofdstukken bevatten een samenvoeging van bestaande controls, plus , nieuwe controls die inspelen op nieuwe technologieën en actuele dreigingen. Hoofdstuk 5 bevat bijvoorbeeld een nieuwe control over informatiebeveiliging voor het gebruik van clouddiensten (5.23) en een control over het verzamelen van informatie en analyses over dreigingen (5.7), zogeheten Threat Intelligence.
Het is vanzelfsprekend dat de BIO2.0 ook deze nieuwe indeling volgt. Vooruitlopend op de BIO2.0 heeft de overheid in 2023 al de Handreiking BIO2.0-opmaat gepubliceerd. Deze handreiking brengt de BIO in lijn met de context en indeling van de ISO 27002:2022. Hierin worden overheidsmaatregelen gekoppeld aan de hoofdstukken en controls uit de ISO 27002:2022.
Voorbeelden van Wijzigingen
01
Een werkend ISMS
Het concept van de BIO2.0 haalt de ISO27k-serie meerdere malen aan. Zo is maatregel 5.35.1 bijvoorbeeld als volgt gewijzigd:
- BIO1.04: Er is een information security management system (ISMS) waarmee aantoonbaar de gehele Plan-Do-Check-Act cyclus op gestructureerde wijze wordt afgedekt.
- BIO2.0 Concept: Er is een werkend ISMS conform de ISO 27001.
De maatregel wordt dus concreter en vraagt specifiek om een ISMS conform ISO 27001.
02
Nieuwe en gewijzigde overheidsmaatregelen
Naast wijzigingen op een hoog niveau zijn ook de verplichte overheidsmaatregelen veranderd. Hierbij telt hoofdstuk vijf (Organisatorisch) de meeste gewijzigde overheidsmaatregelen.
Sommige maatregelen zijn scherper en/of concreter. Waar bijvoorbeeld overheidsmaatregel 5.01.02 uit de BIO1.04 spreekt over het periodiek actualiseren van het informatiebeveiligingsbeleid, scherpt de BIO2.0 dit aan naar jaarlijks. Eenzelfde wijziging is opgenomen in bijvoorbeeld overheidsmaatregel 8.08.04. Waar in de BIO1.04 staat dat informatiesystemen bij voorkeur jaarlijks gecontroleerd moeten worden op “technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid”, spreekt de BIO2.0 over “minimaal jaarlijks”.
03
Aandacht voor verantwoordelijkheden en rollen
Ook is er meer aandacht voor de verantwoordelijkheden en rollen binnen de informatiebeveiliging, onder meer op het gebied van incidentafhandeling. Overheidsmaatregel 5.01.01 stelt nu dat de volgende onderdelen moeten zijn beschrevenen vastgesteld:
- Verantwoordelijkheden met betrekking tot informatiebeveiliging,
- De beveiliging van operationele technologie
- De verantwoordelijkheden met betrekking tot “Business Continuity Management”
04
Asset management en ketenbeheer
In meerdere nieuwe overheidsmaatregelen in de BIO2.0 komt het belang van asset management naar voren. Denk hierbij aan inzicht in eigen systemen voor informatieverwerking, maar ook zicht op leveranciers en afgesloten contracten. Dit is terug te zien in de volgende nieuwe overheidsmaatregelen:
- 5.09.01: Het opzetten en bijhouden van een nauwkeurige, gedetailleerde en actuele inventaris van alle bedrijfsmiddelen die gebruikt worden voor informatieverwerking.
- 5.14.04: Van alle internetfacingsystemen, webapplicaties, IP-adressen en API's is een actuele registratie.
- 5.14.05: Publiek toegankelijke websites worden bekend gemaakt via Register Internetdomeinen Overheid.
- 5.22.02: Er is een actuele registratie van leveranciers en afgesloten contracten.
05
Jaarlijks medewerkers testen op klikgedrag
De conceptteksten van de BIO2 bevatten meerdere nieuwe overheidsmaatregelen met betrekking tot bewustwording van de risico’s binnen cybersecurity. Dit gaat dan zowel om de kennis van bestuurders als die van medewerkers. Dit is te zien in de volgende nieuwe overheidsmaatregelen:
- 5.10.1: Bestuurders moeten kunnen aantonen dat zij opleidingen hebben gevolgd waarmee ze voldoende kennis en vaardigheden hebben gekregen om risico’s op het gebied van cyberbeveiliging te herkennen en de gevolgen ervan te beoordelen op de diensten en/of producten die de organisatie levert.
- 5.10.4: Werknemers moeten regelmatig, net zoals bestuurders bij 5.10.1, opleiding en training volgen om risico's te kunnen herkennen en daar een juiste reactie op te geven.
- 8.07.5: Minimaal jaarlijks worden gebruikers getest op hun klikgedrag.
Hoe kunt u zich voorbereiden?
Bestudeer de ISO/IEC 27001:2022 en ISO/IEC 27002:2022. Bestudeer ook de Handreiking BIO2.0-opmaat. Met deze handreiking kunnen overheidsmaatregelen uit de BIO1.04 gebruikt worden volgens de indeling van de NEN-EN-ISO/IEC 27002:2022.
Als u al een ISMS conform de ISO 27001:2022 heeft zal de overgang niet te groot zijn. Dan is het met name zaak om goed de nieuwe overheidsmaatregelen in acht te nemen.
Heeft u nog geen control framework opgesteld? Dan is de BIO2.0 in combinatie met de aankomende NIS2 een mooie aanleiding om hiermee te starten. Security consultants van Secura kunnen u hierbij op weg helpen en ondersteunen.
Begin daarnaast alvast met het opstellen en bijhouden van een inventaris van:
- Bedrijfsmiddelen die gebruikt worden voor informatiebeveiliging
- Alle internetfacing systemen, webapplicaties, IP-adressen en API’s.
Bronnen
Over de auteur
Abe Winters, Security Analyst
Abe Winters is Security Analyst bij Secura en werkzaam in de 'Public'-marktgroep. Hij is gepassioneerd over de cybersecurity en combineert een technische achtergrond met kennis van de proceskant. Momenteel voert hij voornamelijk penetratietests uit voor klanten in de publieke sector, maar heeft ook kennis van security management met standaarden zoals de ISO 27001.
Abe heeft een MSc. in Cyber Security aan de Universiteit Twente en heeft in zijn thesis onderzoek gedaan naar de prioritering van security controls op basis van het actieve dreigingslandschap per sector.
Hoe Secura u kan helpen
Als onafhankelijk cybersecurity expert kan Secura kan u helpen bij alle onderwerpen van zowel de NIS2, de ISO/IEC 27k als de additionele BIO maatregelen. Wij kunnen u helpen met algehele BIO Compliance, maar ook met specifieke zaken die in de (vernieuwde) overheidsmaatregelen terugkomen. Denk aan het opleiden van uw bestuurders en medewerkers om risico’s in de cybersecurity te herkennen en ook daarnaar te handelen, het uitvoeren van penetratietesten of het opstellen van een control framework en het implementeren van een ISMS conform ISO 27001.
Meer informatie
Wilt u meer informatie over hoe Secura u kan helpen met BIO2? Vul het formulier in en wij nemen binnen één werkdag contact met u op.
Gerelateerd
BIO Compliance
NIS2 Boardroom Training
Waarom kiezen voor Secura | Bureau Veritas
Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.
Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.