Voor overheidsinstanties is gedegen informatiebeveiliging van groot belang. Zij dragen in het bijzonder verantwoordelijkheid voor het beschermen van publieke gegevens en vervullen daarin een voorbeeldfunctie. De invoering van de BIO2 markeert een grote stap in de doorontwikkeling van informatiebeveiliging binnen de overheid. BIO2 biedt een risicogestuurde aanpak met een normenkader waarmee overheidsinstanties voldoen aan verplichtingen die voortvloeien uit de Cyberbeveiligingswet (hierna: CBW).
In dit artikel laten we zien wat BIO2 kan betekenen en hoe overheden zich effectief kunnen voorbereiden op deze nieuwe standaard.
Operationalisatie van de zorgplicht
In een eerder artikel vertelden we hoe NIS2 zich vertaalt in de CBW. BIO2 kan gezien worden als een operationalisatie van de zorgplicht die in de CBW beschreven staat. Daarmee biedt BIO2 een normenkader voor overheden om hun informatiebeveiliging te kunnen organiseren en aantoonbaar te kunnen voldoen aan de eisen van de CBW. De CBW schetst dus een abstract beeld van wat de zorgplicht voor organisaties inhoudt; BIO2 maakt dit beeld concreet. In de praktijk ziet dat er op de volgende manier uit:
CBW:
- Stelt dat het bestuur eindverantwoordelijk is voor informatiebeveiliging binnen een organisatie.
- Vereist dat instanties passende en proportionele maatregelen nemen voor informatiebeveiliging.
BIO2: Maakt deze eindverantwoordelijkheid concreet door het bestuur verantwoordelijk te stellen voor:
- Het opstellen en goedkeuren van een informatiebeveiligingsbeleid.
- Het ontvangen van periodieke rapportages over informatiebeveiliging.
- Het inrichten van rollen zoals de CISO en informatie-eigenaren.
Daarnaast werkt BIO2 de eis van passende en proportionele maatregelen uit door:
- Het uitvoeren van een risicoanalyse en classificatie.
- Het treffen van een set beveiligingsmaatregelen gebaseerd op ISO/IEC 27001:2022 en ISO/IEC 27002:2022.
Doordat deze stappen expliciet zijn vastgelegd en afwijkingen gemotiveerd moeten worden, kan een toezichthouder objectief vaststellen of een overheidsorganisatie haar zorgplicht daadwerkelijk vervult.
Met het ingaan van de cyberbeveiligingswet zal de RDI officieel toezichthouder worden voor overheidsinstanties op de invulling en het naleven van de zorgplicht. Daarnaast zullen incidenten gemeld moeten worden aan de RDI.
Begin alvast
Dat de CBW en daarmee ook BIO2 pas wettelijk verplicht worden bij inwerkingtreding van de Cyberbeveiligingswet, betekent niet dat het raadzaam is om te wachten met het nemen van maatregelen. Juist voor overheden is het van essentieel belang om vooruit te lopen op het gebied van informatiebeveiliging. Zij worden volgens de CBW gezien als kritieke entiteit. Een datalek zou grote gevolgen hebben voor burgers en voor het vertrouwen in de overheidsinstantie. Daarnaast kan een datalek grote maatschappelijke en economische gevolgen hebben, omdat diensten zoals gezondheidszorg ernstig verstoord kunnen worden.
Voorbereiding op BIO2
In een eerder artikel benoemden wij het behalen van een ISO 27001-certificaat als een goede eerste stap richting CBW-compliance. Voor de meeste organisaties die onder de CBW vallen is dit het geval, voor overheden zit dit echter anders. Ook al heeft ISO 27001 duidelijke raakvlakken met BIO2, voor overheden blijkt het behalen van deze certificering in de praktijk complexer. Dat komt door de hoeveelheid processen en de verschillende lagen van bestuur waar een voorstel doorheen moet. Een dergelijk certificaat behalen kan, maar is voor de meeste overheidsinstanties niet de meest efficiënte manier om de eerste stap te zetten richting BIO2.
Een risicoscan is vaak passender, omdat het beter aansluit bij de zorgplicht. Een risicoscan brengt de risico's in kaart en maakt inzichtelijk waar maatregelen nodig zijn. Daarmee voldoet een overheidsinstantie aan de kernvraag: ‘Zijn de genomen maatregelen passend bij het risico?’ Op basis van een risicoscan kunnen er onderbouwde keuzes worden gemaakt over wat nu moet en wat nog kan wachten. Dit leidt tot gericht advies over daadwerkelijke kwetsbaarheden, in plaats van een alles-of-niets-benadering zoals bij ISO-certificering. Daarnaast helpt een risicoscan bij de voorbereiding op toezicht van de RDI, omdat duidelijk wordt welke risico’s zijn geïdentificeerd, welke maatregelen daaraan zijn gekoppeld en welke bestuurlijke besluiten hierover zijn genomen. Voor de RDI is dit essentieel: zij toetst of een instantie haar risico’s kent, logische maatregelen treft en deze keuzes bestuurlijk vastlegt.
Meer weten over BIO2 of een risicoscan? Onze consultants staan klaar om u te helpen!