Heb je een voorstel voor een aanpassing in de handreiking BIO2.0-opmaat (waarin eerder goedgekeurde BIO-wijzigingsverzoeken zijn verwerkt) of de BIO? E-mail het ingevulde BIO-wijzigingsverzoek in Word-formaat naar bio@cip-overheid.nl.
De onderstaande wijzigingsverzoeken blijven zichtbaar, totdat ze deels of geheel verwerkt zijn in een nieuwe BIO-versie of als er besloten is om ze niet te verwerken in de BIO.
De volgende wijzigingsverzoeken zijn goedgekeurd en verwerkt in de handreiking BIO2.0-opmaat:
Wv2 Scans (12.2.1.4 en 12.2.1.5)
Voeg de maatregelen samen. Verander 'verschillende omgevingen' in 'alle omgevingen'. Voeg toe aan lid a 'of opslag in eigen omgeving'. Voeg een nieuw lid toe 'alle gedownloade content voorafgaand aan executie of opslag'.
Wv3 Toets door onafhankelijke functionaris (12.4.2.3)
Vervang 'interne audit procedure'. De toetsing kan niet door een procedure plaatsvinden. De toetsing hoeft niet uitgevoerd te worden door een auditafdeling. De toetsing kan gedaan worden door een onafhankelijke functionaris ten opzichte van de uitvoering plaatsvinden.
Wv26 Standaarden van het Forum Standaardisatie (10.1.1.2)
Toevoegen dat passende standaarden, standaarden van het Forum Standaardisatie zijn. Een nieuwe maatregel wordt: 'De sterkte van de cryptografie wordt waar mogelijk gebaseerd op adviezen van het NCSC.'.
Wv37 NSCS-terminologie (12.6.1.1)
Gebruik de term 'NCSC-Inschalingsmatrix beveiligingsadviezen' zoals ook het NCSC ook hanteert.
Wv39 Bemenste (11.2.9.1)
Vervang het woord bemensde voor bemenste.
Wv40 PKI-o (13.2.3.3)
De staatssecretaris heeft besloten dat de overheid geen publiek vertrouwde website-certificaten meer zal uitgeven onder het PKIo-stelsel en dat aan de markt over te laten. Dit betekent dat deze certificaten per december 2022 niet langer geldig zijn. De maatregel heeft een aanpassing hierop nodig.
Wv42 Structuur en taal (divers)
Voer de structuur en conventies consequent door: kolombreedte volledig benutten, opsommingsnummers/-tekens uniformeren, elke opsomming op een nieuwe regel, uitlijning in tabellen gelijk houden, vet-markering van BBN-nummers verwijderen, punt aan het einde van elke zin, getallen in nummers noteren en taal- en spelfouten corrigeren.
Wv43 Geldigheidsduur wachtwoorden (9.4.3.2 en 9.4.3.5)
Wachtwoorden moeten worden gewijzigd wanneer het wachtwoord gecompromitteerd is. Indien wachtwoorden vaker - verplicht - dienen te worden gewijzigd, worden wachtwoorden zwakker. Wachtwoorden zullen veel lijken op de oude. Een sterk wachtwoord (minimaal 15 posities) blijft een sterk wachtwoord en is ook door software moeilijk te kraken.
Wv44 Risico-afweging op informatiesystemen (14.1.1.1)
Maatregel 14.1.1.1 zal worden toegewezen aan control 5.8 uit de ISO 27002:2022. Control 5.8 gaat over: 'Ervoor zorgen dat informatiebeveiligingsrisico’s binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt.'. De maatregel past niet goed bij deze controltekst. Naast 14.1.1.1 zal maatregel 15.1.1.1 terecht gekomen in de BIO versie 2.0 bij 5.19. Deze maatregel heeft ook al betrekking op het uitvoeren van een expliciete risicoafweging bij aanschaf (offerte-aanvragen) van systemen die de informatievoorziening ondersteunen.
Laat maatregel 14.1.1.1 daarom vervallen.
Wv45 Authenticatie (9.4.3.1 en 9.3.1.1)
Verander overheidsmaatregel 9.4.3.1 als volgt: ‘Als gebruik gemaakt wordt van wachtwoorden, dan moeten deze voldoen aan 3 eisen:
Een wachtwoord is minimaal 15 posities lang. Alleen als een applicatie of systeem zulke lange wachtwoorden niet ondersteunt, mag daar vanaf geweken worden als ook twee-factor geïmplementeerd is.
De tekens van een wachtwoord zijn zo willekeurig mogelijk gekozen dat individuele tekens of combinaties van tekens geen voorspellende waarde hebben voor de rest van het wachtwoord.
Elk wachtwoord dient uniek te zijn zodat elk wachtwoord toegang geeft tot maximaal één account.’.
Verander overheidsmaatregel 9.3.1.1 als volgt: ‘Medewerkers worden ondersteund in het beheren van hun wachtwoorden door het beschikbaar stellen van een wachtwoordmanager of een vergelijkbaar systeem.’.
De huidige maatregelen geven teveel ruimte voor herhalende wachtwoorden en de verplichting om voor ieder account een uniek wachtwoord te gebruiken. De wachtwoordlengte van 8 posities is te kort. Het NCSC publiceert regelmatig advies voor een afdoende wachtwoordlengte. Als het NCSC daarvoor de aangewezen organisatie is, kan in plaats van een harde wachtwoordlengte naar het NCSC-advies verwezen worden. Zo wordt de BIO onderhoudsvriendelijker. De voorgestelde 15 karakters is boven het minimale huidige advies van het NCSC, maar binnen de range van 10 tot 24 karakters (zie ook: https://www.ncsc.nl/onderwerpen/authenticatie). Of passen we alle maatregelen aan met een verwijzing naar dergelijke websites?
Wv46 Beveiligingsgebeurtenis (9.2.5.2)
Pas de maatregel aan: 'Ongeautoriseerde afwijkingen op of ongeautoriseerde aanpassingen aan uitgegeven toegangsrechten worden beschouwd als beveiligingsgebeurtenis en als zodanig vastgelegd en afgehandeld.'. Deze maatregel verwoordt beter waar het over gaat.
Wv47 (12.6.1.1 en 18.2.3.1)
In de handreiking BIO2.0-opmaat komen twee maatregelen samen in control 8.8.
Pas de term kwetsbaarheidswaarschuwingen aan omdat deze term niet meer wordt gehanteerd. Voeg leveranciersbeveiligingsadviezen toe.
Voeg de maatregel toe: 'Op basis van een expliciete risicoafweging wordt bepaald op welke wijze mitigerende maatregelen getroffen worden.'.
Voeg aan de huidige de optie om red-teaming-testen toe.
Wv48 Logging en monitoring (12.4.1.3)
Voeg toe 'Actieve netwerkcomponenten zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen te kunnen waarnemen en daarop te reageren.', voor als er nog een SIEM/SOC aanwezig is.
Wv50 Notatie van verantwoordelijke(n) (divers)
Noteer verantwoordelijke(n) op eenzelfde wijze.
Wv52 Maximaal dataverlies (12.3.1.3 en bijlage 2)
Het maximale dataverlies op BBN2 uit maatregel 12.3.1.3 (28 uur) wijkt af van het maximale dataverlies op BBN2 uit bijlage 2 (24 uur). Vervang BBN2 door BBN1 in de maatregel zodat de dataverlieswaardes genoemd in de maatregel en bijlage gelijk zijn aan elkaar.
Wv54 Consistentie van de tekst (deel 2)
Vervang het woord 'er' door het onderwerp. Noteer afkortingen de eerste keer voluit. Corrigeer taal- en spelfouten. Noteer de verantwoordelijk(en) van controls en overheidsmaatregelen op dezelfde wijze. Verwijder harde enters. Hanteer het woord 'norm' als het om een ISO-norm gaat, zoals NEN dit doet. Gebruik Nederlandse termen, tenzij er geen goede vertaling voor handen is. Maak maatregelen zelfstandig leesbaar.
Wv55 Maatregelen in lijn met huidige dreigingen (8.3.2.3, 9.4.3.4, 12.3.1.1, 12.3.1.4, 15.1.1.1, 15.1.2.1, 15.1.3.1, 15.1.2.3 en 16.1.3.1)
Diverse overheidsmaatregelen hebben een aanpassing nodig omdat ze niet meer in lijn zijn met de huidige dreigingen.
Dit veld wordt zo snel mogelijk gevuld.
De volgende wijzigingsverzoeken worden niet meegenomen in de BIO/handreiking BIO2.0-opmaat:
Wv1 Vertrouwde zone (9.1.2.1)
Aanpassing van de maatregel (Toegang tot een vertrouwde zone moet in alle gevallen gemanaged zijn. Alle toegang dient erop gericht zijn de integriteitvereisten van de processen die plaatsvinden binnen de vertrouwde zone te handhaven) wordt niet doorgevoerd. De richtlijn uit de ISO 27002:2022 geeft voldoende richting.
Wv34 NBV (13.1.2.3)
NBV is voor het Rijk en de BIO voor de overheid. De maatregel hoort om die reden in de bijlage. Besloten is om de maatregel te laten bestaan. Wel wordt toegevoegd waar de afkorting NBV voor staat.
Wv51 PKIo (10.1.2.1)
De informatie weghalen over PKIoverheid omdat deze certificaten niet meer worden uitgegeven onder het PKIo-stelsel. PKIo bestaat alleen niet meer voor publiek vertrouwde webservercertificaten.
De regie op het onderhoud- en beheerproces is belegd bij de Directie Digitale Samenleving van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). De werkgroep BIO voert de beheer- en onderhoudstaken op de BIO uit. De werkgroep BIO vertegenwoordigt de achterban van de vier koepels (rijk, gemeenten, waterschappen en provincies). Naast vertegenwoordigende leden, nemen de grote uitvoeringsorganisaties (Belastingdienst en UWV), als ook adviserende leden van het NCSC, CIP en Forum Standaardisatie deel aan de werkgroep BIO.
De werkgroep BIO bespreekt elk wijzigingsformulier, bereikt daarover overeenstemming, komt tot een standpunt, bepaalt op welk niveau besluitvorming plaats zal vinden en geeft een advies. Ze hanteert de criteria (zie het veld Argumentatie in het BIO-wijzigingsformulier) om de impact per voorgestelde wijziging te bepalen en daarmee op welk niveau besluitvorming plaats zal vinden:
Na interbestuurlijke bekrachtiging van elke wijzigingsverzoek worden in elke onderhoudscyclus de goedgekeurde wijzigingsvoorstellen verwerkt in een conceptversie van de BIO. Het OBDO is het laatste gremium waar een aankomende conceptversie van de BIO passeert, voordat de BIO wordt gepubliceerd in de Staatscourant.
De evaluatie van de BIO-versie 1.0.4zv was oorspronkelijk gepland in 2023. Omdat de BIO de indeling van controls uit de ISO/IEC 27002:2022 nodig heeft, is ervoor gekozen om de evaluatie te vervroegen. Dat betekent dat in de besluitvorming over de BIO 2.0, de aanpassing vanwege de ISO/IEC 27002:2022 en de wijzingen als gevolg van de evaluatie een plek krijgen. Door deze aanpassingen te combineren, hoeft het (omvangrijke) afstemmings- en besluitvormingsproces slechts eenmaal te worden doorlopen. Naar verwachting is in het derde kwartaal van 2024 de BIO-versie 2.0 beschikbaar.