BIO-wijzigingsverzoeken

Heb je een voorstel voor een aanpassing in de BIO? Vul per wijziging een BIO-wijzigingsverzoek volledig in. E-mail het formulier in Word-formaat naar bio@cip-overheid.nl.

Overzicht en status ingediende wijzigingsverzoeken
De onderstaande wijzigingsverzoeken blijven zichtbaar totdat ze deels of geheel verwerkt zijn in een nieuwe versie van de BIO of er besloten is om ze niet op te nemen.

De volgende wijzigingsverzoeken worden verwerkt in versie 2.0 van de BIO:

1. PKI-o, wijziging BIO 13.2.3.3
De staatssecretaris heeft besloten dat de overheid geen publiek vertrouwde website-certificaten meer zal uitgeven onder het PKIo-stelsel en dat aan de markt over te laten. Dit betekent dat deze certificaten per december 2022 niet langer geldig zijn en dat BIO-overheidsmaatregel 13.2.3.3 als volgt verandert:

Maak bij openbaar webverkeer van gevoelige gegevens gebruik van ten minste publiek vertrouwde Organization Validated-certificaten. Maak bij intern webverkeer voor gevoelige gegevens gebruik van ten minste publieke vertrouwde OV-certificaten of private PKIo-certificaten. Hogere eisen aan certificaten kunnen voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving. Verzend gevoelige gegevens alleen via e-mail over onvertrouwde netwerken als de keten tussen verzender en ontvanger voldoende beveiligd is zoals door het toepassen van 13.2.3.1.

2. Beveiligingsvoorschrift Rijksdienst, wijziging BIO 1.2, 4, 6.1.1.2, 11.1.1.1 en Bijlage 1
Het Beveiligingsvoorschrift Rijksdienst (BVR 2013) is vervallen en vervangen door het Besluit BVA-stelsel Rijksdienst 2021. Vervang het BVR door het Besluit BVA-stelsel Rijksdienst 2022.

3. Structuur en taal, wijziging BIO divers
Voer de structuur en conventies consequent door: kolombreedte volledig benutten, opsommingsnummers/tekens, elke opsomming op een nieuwe regel, uitlijning in tabellen, vet-markering van BBN-nummers, punt aan het einde van elke zin en getallen in nummers noteren. Corrigeer taal- en spelfouten.

De volgende wijzigingsverzoeken worden tijdens de BIO-evaluatie beoordeeld, voordat ze worden verwerkt in versie 2.0 van de BIO:

1. Risico-afweging op informatiesystemen, wijziging BIO 14.1.1.1
Maatregel 14.1.1.1 zal worden toegewezen aan control 5.8 uit de ISO 27002:2022. Control 5.8 gaat over: “Ervoor zorgen dat informatiebeveiligingsrisico’s binnen projecten en te leveren producten en diensten gedurende de gehele levenscyclus van het project op doeltreffende wijze binnen het projectmanagement worden aangepakt.”. De maatregel past niet goed bij deze controltekst. Naast 14.1.1.1 zal maatregel 15.1.1.1 terecht gekomen in de BIO versie 2.0 bij 5.19. Deze maatregel heeft ook al betrekking op het uitvoeren van een expliciete risicoafweging bij aanschaf (offerte-aanvragen) van systemen die de informatievoorziening ondersteunen.

Laat maatregel 14.1.1.1 daarom vervallen.

2. Authenticatie, wijziging BIO 9.4.3.1 en 9.3.1.1
Verander overheidsmaatregel 9.4.3.1 als volgt: ‘Als gebruik gemaakt wordt van wachtwoorden, dan moeten deze voldoen aan 3 eisen:

  • Een wachtwoord is minimaal 15 posities lang. Alleen als een applicatie of systeem zulke lange wachtwoorden niet ondersteunt, mag daar vanaf geweken worden als ook twee-factor geïmplementeerd is.
  • De tekens van een wachtwoord zijn zo willekeurig mogelijk gekozen dat individuele tekens of combinaties van tekens geen voorspellende waarde hebben voor de rest van het wachtwoord.
  • Elk wachtwoord dient uniek te zijn zodat elk wachtwoord toegang geeft tot maximaal één account.’.

Verander overheidsmaatregel 9.3.1.1 als volgt: ‘Medewerkers worden ondersteund in het beheren van hun wachtwoorden door het beschikbaar stellen van een wachtwoordmanager of een vergelijkbaar systeem.’.

De huidige maatregelen geven teveel ruimte voor herhalende wachtwoorden en de verplichting om voor ieder account een uniek wachtwoord te gebruiken. De wachtwoordlengte van 8 posities is te kort. Het NCSC publiceert regelmatig advies voor een afdoende wachtwoordlengte. Als het NCSC daarvoor de aangewezen organisatie is, kan in plaats van een harde wachtwoordlengte naar het NCSC-advies verwezen worden. Zo wordt de BIO onderhoudsvriendelijker. De voorgestelde 15 karakters is boven het minimale huidige advies van het NCSC, maar binnen de range van 10 tot 24 karakters (zie ook: https://www.ncsc.nl/onderwerpen/authenticatie). Of passen we alle maatregelen aan met een verwijzing naar dergelijke websites?

3. Afwijkingen op toegangsrechten, wijziging BIO 9.2.5.2
Verander overheidsmaatregel 9.2.5.2 in: ‘Afwijkingen op uitgegeven toegangsrechten worden beschouwd als beveiligingsincidenten en als zodanig vastgelegd en afgehandeld.’. Dit voorstel verwoordt beter waar het over gaat.

4. Beheer technische kwetsbaarheden, wijziging BIO 12.6.1.1 en 18.2.3.1
Aankomende control 8.8 (zie ISO 27002:2022 8.8) is een combinatie van 2 controls uit de BIO versie 1.0.4zv (12.6.1 en 18.2.3). Twee verschillende overheidsmaatregelen komen bij elkaar.

Voorstel voor maatregel 12.6.1 is: ‘Als de kans op misbruik en de verwachte schade beide hoog zijn (bijvoorbeeld in NCSC-inschaling beveiligingsadviezen of leveranciers beveiligingsadviezen), worden passende mitigerende maatregelen zo snel mogelijk, maar uiterlijk binnen een week genomen. Op basis van een expliciete risicoafweging wordt bepaald op welke wijze mitigerende maatregelen getroffen worden.’. Dit omdat het NCSC minder beveiligingsadviezen verstuurd en omdat de term kwetsbaarheidswaarschuwingen niet meer gebruikt wordt. Leveranciers verstuurden ook altijd al kwetsbaarheidswaarschuwingen en het belang van deze is door het gewijzigde beleid van NCSC toegenomen.

Voorstel voor maatregel 8.8.2 is: ‘Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teaming testen.’. In de huidige maatregel ontbreekt de optie om ook red-teaming-testen.

Er ontstaat ruimte om op basis van een risicoafweging de best passende mitigatiestrategie te bepalen. Er is ruimte om te kiezen om het beveiligingsadvies te volgen of een andere mitigatie strategie te kiezen als de voorgestelde oplossing uit het NCSC-advies bepaalde risico’s in zich heeft die de dienstverlening zouden kunnen verstoren of omdat ze niet samengaan met andere ICT-componenten.

5. Logging en monitoring, wijziging BIO 12.4.1
De overheidsmaatregelset bij control 12.4.1 betreft maatregelen rondom een SIEM/SOC, het melden aan het NCSC (via een sectorale CERT) en dat er heldere regels moeten zijn over wanneer een incidentrapportage moet worden gedaan. Voeg een aanvullende BBN1-maatregel toe, voor als er nog geen SIEM/SOC is: ‘Firewalls zijn voorzien van logging en monitoring van die logging om afwijkende gebeurtenissen kunnen waarnemen en daarop te reageren.’. Dit om ervoor te zorgen dat het belang van monitoring van de digitale voordeur ingezien en toepast wordt als een eerste barrière.

6. Geldigheidsduur wachtwoorden, wijziging BIO 9.4.3.2 en 9.4.3.5
Wachtwoorden moeten worden gewijzigd wanneer het wachtwoord gecompromitteerd is. Indien wachtwoorden vaker - verplicht - dienen te worden gewijzigd, worden wachtwoorden zwakker. Wachtwoorden zullen veel lijken op de oude. Een sterk wachtwoord (minimaal 15 posities) blijft een sterk wachtwoord en is ook door software moeilijk te kraken.

Toelichting op de BIO-evaluatie
De evaluatie van de BIO-versie 1.0.4zv was oorspronkelijk gepland in 2023. Omdat de BIO de indeling van controls uit de ISO/IEC 27002:2022 nodig heeft, is ervoor gekozen om de evaluatie te vervroegen. Dat betekent dat in de besluitvorming over de BIO 2.0, de aanpassing vanwege de ISO/IEC 27002:2022 en de wijzingen als gevolg van de evaluatie een plek krijgen. Door deze aanpassingen te combineren, hoeft het (omvangrijke) afstemmings- en besluitvormingsproces slechts eenmaal te worden doorlopen. Naar verwachting is in het eerste kwartaal van 2023 een conceptversie van de BIO-versie 2.0 beschikbaar, waarna het proces van besluitvorming wordt opgestart.

Toelichting op het BIO-wijzigingsproces
De regie op het onderhoud- en beheerproces is belegd bij de Directie Digitale Samenleving van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). De werkgroep BIO voert de beheer- en onderhoudstaken op de BIO uit. De werkgroep BIO vertegenwoordigt de achterban van de vier koepels (rijk, gemeenten, waterschappen en provincies). Naast vertegenwoordigende leden, nemen de grote uitvoeringsorganisaties (Belastingdienst en UWV), als ook adviserende leden van het NCSC, CIP en Forum Standaardisatie deel aan de werkgroep BIO.

De werkgroep BIO bespreekt elk wijzigingsformulier, bereikt daarover overeenstemming, komt tot een standpunt, bepaalt op welk niveau besluitvorming plaats zal vinden en geeft een advies. Ze hanteert de criteria (zie het veld Argumentatie in het BIO-wijzigingsformulier) om de impact per voorgestelde wijziging te bepalen en daarmee op welk niveau besluitvorming plaats zal vinden:

  • Niet-impactvolle wijzigingsverzoeken
    De werkgroep BIO neemt een besluit en informeert het kern-IBO (met vertegenwoordiging van alle overheidslagen) bij consensus hierover. Is er geen consensus, neemt het kern-IBO een besluit.
  • Matig-impactvolle wijzigingsverzoeken
    Behandeling en besluitvorming gaat via de werkgroep BIO en het kern-IBO. De leden van de werkgroep BIO voorzien de leden van het kern-IBO van een advies, ter besluitvorming. Het OBDO wordt geïnformeerd.
  • Impactvolle wijzigingsverzoeken 
    Behandeling en besluitvorming gaat via de werkgroep BIO naar het kern-IBO en vervolgens van het kern-IBO naar het OBDO.

Na interbestuurlijke bekrachtiging van elke wijzigingsverzoek worden in elke onderhoudscyclus de goedgekeurde wijzigingsvoorstellen verwerkt in een conceptversie van de BIO. Het OBDO is het laatste gremium waar een aankomende conceptversie van de BIO passeert, voordat de BIO wordt gepubliceerd in de Staatscourant.