Circulaire toepassen Baseline Informatiebeveiliging Overheid 2 in het digitale verkeer met het Rijk

Met deze circulaire informeer ik u over de nieuwe versie van het normenkader inzake informatiebeveiliging; de Baseline Informatiebeveiliging Overheid 2 (BIO2), de opvolger van de BIO 1.04. De BIO2 versie 1.3 is opgenomen in deze circulaire.

De BIO2 is:

Iedere overheidslaag heeft in een eerder stadium besloten de BIO toe te passen. Dit is bevestigd in de Ministerraad van 14 december 2018. Dat is met u gedeeld middels de circulaire 2019-0000184156 van 16 april 2019.

De BIO2 weerspiegelt de internationale beveiligingsnormen (NEN-EN-ISO/IEC 27001:2023 (nl) en NEN-EN-ISO/IEC 27002:2022 (nl)) en vervangt de indeling in 3 Basisbeveiligingsniveaus (BBN’s) uit de vorige BIO versies, door een explicietere risicogerichte benadering. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s, zonder vast te zitten aan de 3 beveiligingsniveaus.

Daarnaast hebben de overheidsmaatregelen een update gehad en waar mogelijk zijn maatregelen verlicht. Door de verplichte doorwerking op de BIO2 van de NIS2-richtlijn (via de Nederlandse Cyberbeveiligingswet) is ook een aantal overheidsmaatregelen verzwaard. In de ministeriële regeling van de Cbw zal voor de zorgplicht rechtstreeks verwezen worden naar de BIO2 versie in deze circulaire.

Deze versie vervangt per heden de versie 1.04 in het digitale verkeer met het Rijk en tevens de versie 1.2 die in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) van 23 september 2025 is vastgesteld. Daarmee komt ook de circulaire 2019-0000684575 te vervallen.

De BIO2 is het gezamenlijke product van het Rijk, provincies, gemeenten en waterschappen en is vastgesteld in het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO). De interbestuurlijke werkgroep BIO, waarin alle bestuurslagen vertegenwoordigd zijn, heeft afgelopen jaar gewerkt aan de doorontwikkeling van de BIO2 na consultatie bij professionele gemeenschappen binnen- en buiten de overheid. De ontwikkeling van toekomstige versies van de BIO2 zal op dezelfde wijze verlopen.

Implementatie van de BIO2 is en blijft de verantwoordelijkheid van overheidsorganisaties zelf. Om hen daarbij te ondersteunen heeft het Ministerie van BZK een ondersteuningsprogramma ingericht bij het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). Dit programma is afgestemd met alle bestuurslagen en is aanvullend op wat bestuurslagen zelf al ondernemen om de implementatie vorm te geven.

Het ondersteuningsprogramma geeft een impuls aan de implementatie van de BIO2 door beheer en onderhoud, ontwikkeling van hulpinstrumenten, het vergroten van bewustzijn en het bevorderen van kennis en kunde onder de betrokkenen.

Overheidsorganisaties die gebruik willen maken van het ondersteuningsprogramma kunnen terecht op www.bio-overheid.nl.

Ik wil u adviseren om van de diensten van het ondersteuningsprogramma gebruik te maken.

BIO 2

Deel 1 BIO2-kader van de Baseline Informatiebeveiliging Overheid 2 (BIO2) is gestructureerd volgens NEN-EN-ISO/IEC 27001:2023, en deel 2 BIO-overheidsmaatregelen van de BIO2 is gestructureerd volgens NEN-EN-ISO/IEC 27002:2022. Entiteiten kunnen kosteloos beschikken over deze normen via NEN connect, het digitale platform van het Nederlands Normalisatie Instituut (NEN).

Forum Standaardisatie heeft deze normen opgenomen in de ‘pas-toe-of-leg-uit’-lijst met verplichte standaarden voor de publieke sector. Dit betekent dat de overheid deze normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen. De BIO2 beschrijft de invulling van NEN-EN-ISO/IEC 27001:2023 en NEN-EN-ISO/IEC 27002:2022 voor de overheid. De BIO2 vervangt deze twee normen niet, maar vult ze aan.

NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002 beschrijven de details voor implementatie (richtlijnen) en eisen voor de procesinrichting (onder andere het ISMS uit NEN-EN-ISO/IEC 27001). ISO 27001 is verplicht voor het inrichten van het managementsysteem voor informatiebeveiliging. Daar waar de BIO2 niet expliciet iets voorschrijft, worden beide ISO-normen gebruikt, om te komen tot een goede inrichting voor risicomanagement. Deze ISO-normen geven dus de details voor de toepassing, die niet in de BIO2 zijn beschreven en die nodig blijven voor een goede implementatie van de BIO2.

Het gebruik van informatie uit NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002 in de BIO is auteursrechtelijk beschermd. Het gebruik van teksten uit deze normen in de BIO geschiedt met toestemming van NEN. Voor meer informatie over de NEN en het gebruik van hun producten zie: www.nen.nl.

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is stelselverantwoordelijke voor de BIO. Zij heeft het beheer van de BIO bij het Centrum Informatiebeveiliging en Privacybescherming (CIP) belegd.

Wij danken iedereen die direct of indirect heeft bijgedragen aan de totstandkoming van de BIO2. In willekeurige volgorde danken wij de vertegenwoordigers van de koepelorganisaties (Vereniging van Nederlandse Gemeenten, Interprovinciaal Overleg en Unie van Waterschappen), Chief Information Security Officers (CISO’s) van overheidseniteiten, de Auditdienst Rijk (ADR), de Rijksinspectie Digitale Infrastructuur (RDI), het Nationaal Cyber Security Centrum (NCSC), het Centrum Informatiebeveiliging en Privacybescherming (CIP), de informatiebeveiligingsdienst voor gemeenten (IBD), de leden van de werkgroep BIO, bestuurders en functionarissen van overheden en alle anderen die hebben bijgedragen.

Deel 1. BIO2-kader

De overheid vervult een essentiële rol in de samenleving door bij te dragen aan de democratische rechtsstaat en het bieden van diensten aan burgers en bedrijven. Deze verantwoordelijkheden vereisen een zorgvuldige omgang met informatie en gegevens. Om deel te kunnen nemen aan de samenleving moeten burgers en bedrijven informatie met de overheid delen en zijn zij afhankelijk van de overheid om informatie te ontvangen. De overheid heeft vanuit deze unieke rol de plicht om zorgvuldig om te gaan met deze informatie.

De Baseline Informatiebeveiliging Overheid (BIO) is het normenkader voor informatiebeveiliging binnen alle overheidsentiteiten. Het biedt richtlijnen, algemene principes en verplichte overheidsmaatregelen voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen de overheid en haar ketens.

1. Leeswijzer

De Baseline Informatiebeveiliging Overheid 2 (BIO2) is opgebouwd uit twee delen:

Deze twee delen vormen een compleet kader voor informatiebeveiliging binnen de overheid. Er worden voor de ISO-normen in dit document alleen jaartallen vermeld als dit van belang is. Daar waar gerefereerd wordt aan een andere norm is geen jaartal vermeld en wordt de meest actuele versie bedoeld.

2. Doel van de BIO

Het doel van de BIO is om de informatieveiligheid overheidsbreed op een gemeenschappelijk basisniveau te brengen en daardoor ook de ketenpartners een basis van vertrouwen te geven bij gegevensuitwisseling.

Daarnaast biedt de BIO een basis voor entiteiten om zowel intern als extern transparant te zijn over de wijze waarop informatiebeveiliging is ingericht. Met de BIO hanteert de overheid één gezamenlijke taal en een gezamenlijk doel voor informatiebeveiliging.

3. Toepassing BIO

De BIO is van toepassing op de informatiebeveiliging van alle typen omgevingen, onder andere operationele technologie (OT) en zorginformatie. De BIO brengt deze op het noodzakelijke niveau met behulp van normen en richtlijnen zoals NEN 7510 Informatiebeveiliging in de zorg en Cybersecurity implementatierichtlijn (CSIR).

Deel 1 BIO2-kader en het bijbehorende deel 2 BIO-overheidsmaatregelen hebben een verplichtend karakter en worden altijd gevolgd.

Een informatiesysteem is ‘een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.’ Het gaat dus expliciet niet alleen om technische (ICT-)systemen, maar informatie en organisatie.

4. Verplichtingen BIO

De BIO stelt de volgende verplichtingen aan entiteiten:

5. Het managementsysteem voor informatiebeveiliging

Het managementsysteem voor informatiebeveiliging (information security management system, ook wel ISMS) is een werkwijze om informatiebeveiliging op een gestructureerde manier toe te passen binnen de entiteit. Zo wordt de entiteit, en een bestuurder in het bijzonder, in staat gesteld om de juiste afwegingen te maken.

Om een veelvoorkomend misverstand te voorkomen: een managementsysteem is géén applicatie. Een applicatie kan wel ondersteunen bij het toepassen van een managementsysteem.

Het managementsysteem voor informatiebeveiliging borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicomanagementproces toe te passen. Dit geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de entiteit en met de algehele managementstructuur, en dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen.

5.1. Reikwijdte managementsysteem

Bij het bepalen van de reikwijdte van het managementsysteem neemt een entiteit minimaal de bedrijfsprocessen en informatiesystemen op die kritisch zijn voor haar dienstverlening. Zij bepaalt in welke mate de ondersteunende processen worden opgenomen in het managementsysteem.

Waar overheden gelijkwaardige processen hanteren, is het aanbevolen om, waar beschikbaar, gebruik te maken van het ondersteuningsaanbod van de koepelorganisatie.

5.2. Samenhang managementsystemen

De BIO sluit aan op de Harmonized Structure (HS), wat een consistente en uniforme structuur biedt voor managementsystemen, waardoor de integratie van verschillende (ISO-)normen voor managementsystemen wordt vereenvoudigd. Hierdoor wordt dubbel werk voorkomen en middelen efficiënter gebruikt. Het biedt uniformiteit bij de implementatie van verschillende managementsystemen en vereenvoudigt de integratie van deze systemen.

6. Risicomanagement

Risicomanagement is een kernonderdeel van NEN-EN-ISO/IEC 27001 en vormt ook de basis van de BIO-aanpak binnen de overheid. De processen zijn ontworpen om risico’s systematisch te identificeren, beoordelen, beheersen en continu te monitoren. Het risicomanagementproces verloopt in hoofdlijnen als volgt:

6.1. Contextbepaling

NEN-EN-ISO/IEC 27001 vereist dat een entiteit eerst haar context vaststelt om relevante informatiebeveiligingsrisico’s te identificeren. Dit omvat zowel interne als externe factoren die invloed hebben op de beveiliging van informatie(systemen), en de daarmee samenhangende wettelijke verplichtingen uit de Cbw.

6.2. Kiezen risicomanagementmethodiek

Een entiteit kiest een risicomanagementmethodiek en past deze toe die aansluit bij NEN-EN-ISO/IEC 27001. Een risicomanagementmethodiek omvat ten minste de volgende onderdelen:

6.3. Risico-identificatie

De entiteit:

Hierbij worden uiteenlopende dreigingen en mogelijke scenario’s systematisch geïnventariseerd. Verschillende hulpmiddelen zoals NEN-ISO/IEC 27005 of het Cybersecurity Framework (CSF) en SP 800-30 van National Institute of Standards and Technology (NIST) kunnen gebruikt worden. Voorbeelden hiervan zijn dreigingen die voortkomen uit ketenafhankelijkheden, op OT, of gegevensuitwisseling met zorginstellingen.

6.4. Risicoanalyse

De geïdentificeerde risico’s worden vervolgens geanalyseerd en geclassificeerd op basis van hun waarschijnlijkheid en impact. De entiteit gebruikt in dit proces NEN-EN-ISO/IEC 27001 voor het uitvoeren van risicoanalyses, ondersteund door richtlijnen uit de BIO. Het classificeren van risico’s draagt bij aan een consistent beeld van de risicoprioriteiten binnen de entiteit en de overheid als geheel.

6.5. Risicobehandeling en maatregelenselectie

Er worden na de risicoanalyse passende beheersmaatregelen geselecteerd om risico’s te beheersen. NEN-EN-ISO/IEC 27001, bijlage A (normatief) Referentie voor beheersmaatregelen voor informatiebeveiliging, biedt een reeks beheersmaatregelen, die nader uitgewerkt zijn in NEN-EN-ISO/IEC 27002. De BIO vult deze aan met verplicht toe te passen overheidsmaatregelen die aansluiten op de context van de overheid. Deze overheidsmaatregelen zijn altijd verplicht en kunnen ongeacht de risico-inschatting van de entiteit niet geaccepteerd worden, tenzij ze niet van toepassing kunnen zijn.

7. Verklaring van toepasselijkheid (VvT)

NEN-EN-ISO/IEC 27001 vereist dat entiteiten een VvT opstellen, waarin zij de geselecteerde beheersmaatregelen vastleggen en toelichten welke maatregelen zijn geïmplementeerd. Voor entiteiten geldt dat zij hierin ook de overheidsmaatregelen expliciet opnemen. Eventuele afwijkingen of niet-toepasbare beheersmaatregelen worden in een bijlage ‘Uitzonderingen op de VvT’ opgenomen.

8. Monitoring en continue verbetering

De implementatie van de BIO kan niet afgedaan worden met een eenmalig project. Informatiebeveiliging is een cyclisch proces. NEN-EN-ISO/IEC 27001 en de BIO leggen de nadruk op een continu verbeterproces. Door het toepassen van een managementsysteem blijft een entiteit continu ontwikkelen en verbeteren. Een entiteit onderhoudt haar managementsysteem en evalueert regelmatig om de effectiviteit van beheersmaatregelen te waarborgen. Wijzigingen in wetgeving of nieuwe bedreigingen kunnen aanleiding geven tot het bijwerken van de risicoanalyse en beheersmaatregelen. Met interne audits, managementbeoordelingen en gestroomlijnde documentatie binnen het ISMS houdt de entiteit haar risicomanagement actueel.

9. Transparantie en verantwoording

Burgers moeten erop kunnen vertrouwen dat de overheid uiterst zorgvuldig met gegevens omgaat. Dit wordt ook bereikt door transparant te zijn over de inrichting en de staat van informatieveiligheid en daar verantwoording over af te leggen.

Iedere overheidsorganisatie legt verantwoording af over de staat van de informatieveiligheid via de geldende verantwoordingskaders en aan de relevante toezichthoudende instanties. Informatieveiligheid is een standaard onderdeel van het jaarverslag van de organisatie. Voor veilige onderlinge samenwerking tussen overheidsorganisaties, geven overheidsorganisaties elkaar inzicht in de getroffen maatregelen. Hierbij wordt gebruik gemaakt van de VvT.

10. Toezicht

De BIO-aanpak is de basis voor het invullen van de zorgplicht uit de Cbw door overheidsentiteiten. NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002 vormen de basis van de BIO. Het is aangeraden voor toezichthouders om deze standaarden te hanteren. De elementen uit het ISMS vormen de basis om het managementsysteem te toetsen, inclusief de verplichte overheidsmaatregelen uit de BIO.

De BIO verplicht geen NEN-EN-ISO/IEC 27001-certificering. Certificering draagt wel bij aan het vereenvoudigen van de verantwoording en geeft op basis van een onafhankelijke beoordeling aan dat de entiteit in staat is om informatiebeveiliging procesmatig uit te voeren.

11. Toepasselijke overige normen, wet- en regelgeving

De BIO bevat overheidsmaatregelen die in lijn zijn met andere wet- en regelgeving, maar is daarin zeker niet uitputtend. De BIO is expliciet niet bedoeld om alle beveiligingseisen van de overheid af te dekken. De verschillende overheidslagen hebben te maken met specifieke dreigingen. Overheidslagen kunnen specifieke aanvullende maatregelen benoemen en die, afhankelijk van de interne besluitvorming, verplichtend of adviserend door te voeren. Daarnaast is elke entiteit zelf verantwoordelijk om vast te stellen welke interne en externe eisen, waaronder ook wet- en regelgeving, van toepassing zijn.

Binnen de overheid gelden meerdere normen voor informatiebeveiliging. Naast de BIO zijn er bijvoorbeeld de Nederlandse normen NEN 7510 Informatiebeveiliging in de zorg voor verwerkers van zorginformatie, NEN-EN-ISO 22301 Managementsystemen voor bedrijfscontinuïteit en crisismanagement en de CSIR voor OT. De basis van deze normen is NEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002. Managementsystemen en beheersmaatregelen volgens deze normen kunnen worden geïntegreerd in een managementsysteem voor informatiebeveiliging op basis van NEN-EN-ISO/IEC 27001. Daarmee vallen de twee onderdelen samen: risicomanagement en maatregelen die specifiek passen bij de context.

11.1. Cyberbeveiligingswet (Cbw)

Voor overheden is in de Cbw vastgelegd op welke wijze de zorgplicht voor de beveiliging van netwerk- en informatiesystemen wordt ingevuld. Hieronder volgt een samenvatting van de belangrijkste punten die betrekking hebben op het toepassen van de BIO:

12. Governance

De bestuurder van een entiteit is verantwoordelijk voor het beheersen van informatiebeveiligingsrisico’s. De bestuurder kan dat niet alleen. Om informatiebeveiliging gedegen in te regelen, is een structuur nodig. Het is aan de entiteit om deze structuur aan te brengen volgens NEN-EN-ISO/IEC 27001.

Voor overheden zijn er een aantal rollen die standaard deel uitmaken van informatiebeveiliging van een entiteit. Deze rollen komen ook terug in de uitwerking van overheidsmaatregelen.

12.1. Bestuurder

De aangewezen bestuurders zijn verantwoordelijk voor het treffen van passende en evenredige technische, operationele en organisatorische maatregelen en ziet toe op de naleving daarvan. Kortgezegd zij zijn verantwoordelijk voor risicomanagement, dat gericht is op het borgen van digitale weerbaarheid van de entiteit.

Voor de sector ‘Overheid’ is in artikel 24 twaalfde lid van de Cbw gedefinieerd welke bestuurders worden bedoeld.

De bestuurder laat zich daarbij adviseren door een Chief Information Security Officer (CISO), Chief Information Officer (CIO), functionaris gegevensbescherming (FG) en dergelijke.

12.2. Lijnmanagement

Het lijnmanagement:

12.3. CISO

De CISO:

12.4. Interne toezichthouder

Een bestuurder ziet toe op de toepassing van informatiebeveiliging binnen de entiteit. Een interne toezichthouder kan helpen bij dit toezicht.

13. Leveranciers

Leveranciers bieden diensten en/of producten aan entiteiten. Een entiteit blijft zelf verantwoordelijk voor het behandelen van risico’s die betrekking hebben op de uitbestede of ingekochte dienst of product.

Afhankelijk van het risico behoren daarom verplichtingen van de overheid die volgen uit de BIO of uit andere richtlijnen te worden meegenomen bij het samenstellen van inkoopeisen aan leveranciers.

14. Informatiebeveiligingsprincipes

Overheidsmaatregelen worden risicogericht toegepast en geoperationaliseerd. Daarbij is het praktisch om informatiebeveiligingsprincipes te definiëren en toe te passen zoals security by design & default, toegang op basis van need to know, assume breach, zero trust, dingen gaan fout, defense in depth et cetera.

15. Operationaliseren maatregelen/balans in de maatregelenset

De BIO bevat maatregelen op tactisch niveau, die geoperationaliseerd worden. Hierbij is het belangrijk om in de maatregelenset balans te houden tussen: