BIO2 verankert informatiebeveiliging binnen gehele overheid

woensdag, 15 oktober 2025 (17:03) - Computable

In dit artikel:

De Baseline Informatiebeveiliging Overheid is per direct herzien: versie 2 (BIO2) is onder leiding van minister BZK ontwikkeld in samenwerking met gemeenten, provincies, waterschappen en het Rijk en recent vastgesteld via het Overheidsbreed Beleidsoverleg Digitale Overheid. BIO2 vormt een gezamenlijke basisset van normen voor informatiebeveiliging binnen alle overheidslagen en wordt gepresenteerd als een structurele modernisering van het overheidsbeleid op dit terrein.

Belangrijke doelen zijn uniformering van beveiligingskaders, betere afstemming op actuele dreigingen (ransomware, ketenaanvallen, datalekken) en ondersteuning van naleving van wetten zoals de AVG, de NIS2-richtlijn en de aankomende Cyberbeveiligingswet. Een wezenlijke wijziging is het loslaten van de oude drie Basisbeveiligingsniveaus: BIO2 werkt met een expliciet risicogebaseerde aanpak, waardoor organisaties maatregelen maatgericht kunnen toepassen in plaats van vast te zitten aan vooraf gedefinieerde niveaus.

BIO2 brengt ook meer samenhang met internationale standaarden: de indeling van controls sluit nauwer aan op ISO 27001/27002. Daarbij geldt dat overheidsmaatregelen uit BIO2 minimaal moeten worden toegepast; ISO-beheersmaatregelen worden aanvullend op risico toegepast. Organisaties moeten waar nodig extra maatregelen treffen en mogen zelf passende standaarden kiezen (bijvoorbeeld de Cybersecurity Implementatierichtlijn voor de watersector).

Wettelijke status verschilt per bestuurslaag: voor provincies, waterschappen en het Rijk treedt BIO2 onmiddellijk in als verplichtende vorm van zelfregulering — een bestuurlijke afspraak met handhavingskarakter en bedoeld als ‘zachte landing’ richting toekomstige wettelijke verplichtingen. Gemeenten krijgen BIO2 voorlopig als richtinggevend kader; formeel blijven zij nog gebonden aan BIO 1.04 totdat de Cyberbeveiligingswet in werking treedt. De gekozen constructie beoogt flexibiliteit zodat implementatie kan worden afgestemd op organisatiegrootte, risico’s en ketenafhankelijkheden, en maakt snellere invoering van normen mogelijk zonder directe wetgeving.