Stand van zaken BIO2.0

16-03-2023
Bij de vaststelling van de BIO is afgesproken dat hij in 2023 wordt geëvalueerd. De evaluatie is vervroegd naar 2022, door de komst van een 2022-versie van ISO 27002, zodat er maar één keer een nieuwe BIO-versie hoeft te worden vastgesteld. In de BIO2.0 komen de BIO-evaluatie (als richting voor het herschrijven van de BIO) en de structuuraanpassing (vanwege de nieuwe ISO 27002) tezamen. Het rapport Evaluatie Baseline Informatiebeveiliging Overheid (BIO) is in november 2022 opgeleverd. De evaluatie heeft opgeleverd dat de BIO een belangrijk instrument is waarin we blijven investeren. De handreiking indeling BIO v1.0.4zv aan ISO/IEC 27002:2022, waarin de BIO-control en -overheidsmaatregelen zijn omgenummerd naar de controlnummers van de ISO/IEC 27002:2022, is vlak na de komst van deze ISO-standaard in januari 2023 beschikbaar gekomen.

Door de komst van de NIS2 is de geplande opleverdatum van de BIO2.0 veranderd. In de Kamerbrief Voortgang informatieveiligheid bij de overheid van februari 2021 staat dat het streven is om informatieveiligheid bij de overheid een wettelijke basis te geven. De staatssecretaris Digitalisering wil dit doen via een zorgplicht waaraan nadere regels kunnen worden gesteld, zoals de BIO (zie de kamerbrief Generiek kader voor vitale digitale processen van de overheid van 29 september 2022).
In de Wbni zal de BIO wettelijk verankerd gaan worden. De Wbni is de omzetting van de NIS2 (Europese richtlijn) in nationale wetgeving. De NIS2 kent een bredere reikwijdte. De overheid valt ook onder de NIS2. De omzetting van de NIS2 vindt op dit moment plaats. Hiervoor geldt een implementatietermijn van 21 maanden. Oktober 2024 treedt de Wbni in werking, waarin de BIO op dat moment wettelijk verankerd zal zijn.

Om niet te wachten tot 2024 op een nieuwe versie van de BIO werkt de werkgroep BIO aan een handreiking de BIO2.0-opmaat. Hierin worden alle goedgekeurde BIO-wijzigingsformulieren verwerkt. Ook de maatregelen die niet meer voldoen aan de huidige dreigingen krijgen een actualisatie. Daarnaast worden de maatregelen in lijn gebracht met de laatste ISO 27002-versie: NEN-EN-ISO 27002:2022. De huidige handreiking is namelijk gebaseerd op de ISO/IEC 27002:2022. Naar verwachting is deze handreiking juli 2023 gereed. Hij laat zien welke kant de huidige BIO opgaat.
Nu de voorgenomen doorontwikkeling van de BIO naar de BIO2.0 vanwege de wettelijke verankering van de NIS2 is getemporiseerd, worden de aan de BIO2.0 gerelateerde producten opnieuw geprioriteerd en in een lager tempo aangepast, zodat bij de implementatie van de BIO2.0 in oktober 2024 gelijktijdig de aanpalende producten kunnen worden opgeleverd.