BIO2 komt eraan: Wat gaat er veranderen?
Auteur: Abe Winters, Security analist
Securitymedewerkers bij overheidsinstanties opgelet: De BIO2 komt eraan. Welke extra maatregelen moet uw organisatie nemen om hieraan te voldoen? Wij schetsen de verschillen met BIO1.04 zodat u zich op deze overgang kunt voorbereiden.
Wat is de BIO?
De Baseline Informatiebeveiliging Overheid (BIO) heeft als doel om alle Nederlandse overheidsinstellingen op een gemeenschappelijk niveau van informatiebeveiliging te brengen. De huidige versie, BIO1.04, is gebaseerd op de NEN-ISO/IEC 27001 en 27002 uit 2017. In 2022 is een nieuwe versie van ISO 27001 en 27002 gepubliceerd. Dit is een van de redenen om BIO2 te ontwikkelen.
Op basis van een evaluatie van BIO1.04 en workshops met overheidsinstanties is een concept gepubliceerd. In dit artikel vergelijken we de huidige BIO1.04 met het ontwerp van BIO2 en schetsen we de belangrijkste verschillen. Opgemerkt moet worden dat de BIO2-teksten zich nog in de ontwerpfase bevinden en nog kunnen veranderen.
Verschillen op hoog niveau
Wettelijke inbedding via NIS2 implementatie
Organisaties die onder de NIS2 richtlijn vallen, inclusief overheden, krijgen te maken met een zorgplicht. Om NIS2 op overheidsniveau te implementeren, is in 2023 besloten om de levering van BIO2 te koppelen aan de nationale wetgeving die op basis van NIS2 van kracht wordt. Daarom zal BIO2 wettelijk worden verankerd via de NIS2-implementatie in de Cybersecurity-wet en binnenkort verplicht worden (begin 2025). Zie onze praktische NIS2-gids voor meer informatie over NIS2.
Afschaffing van basisbeveiligingsniveaus
De basisbeveiligingsniveaus (BBN's) worden in BIO2 afgeschaft. Uit de evaluatie van BIO1.04 bleek dat er te veel nadruk werd gelegd op het classificeren van individuele systemen op BBN, en minder op algemeen risicobeheer. Om de focus weer op risicobeheer te leggen, worden de BBN's losgelaten.
ISO 27002 van 2017 tot 2022
De BIO volgt de structuur van ISO 27002. Deze norm heeft eind 2022 een update gekregen, namelijk ISO 27002:2022. Deze nieuwe versie brengt verschillende veranderingen met zich mee in zowel de inhoud als de structuur. Waar controles voorheen georganiseerd waren in veertien hoofdstukken, zijn deze nu teruggebracht tot de volgende vier hoofdstukken:
- A5: Organisatorisch
- A6: Mensen
- A7: Fysiek
- A8: Technologisch
Deze hoofdstukken bevatten een consolidatie van bestaande controles, plus nieuwe controles voor nieuwe technologieën en huidige bedreigingen. Hoofdstuk 5 bevat bijvoorbeeld een nieuwe controle op informatiebeveiliging voor het gebruik van cloud diensten (5.23) en een controle op het verzamelen van informatie en analyses over bedreigingen (5.7), bekend als Threat Intelligence.
Naar verwachting zal BIO2 deze nieuwe structuur volgen. Vooruitlopend op BIO2 heeft de overheid in 2023 al de BIO2 Guide gepubliceerd. Deze gids stemt de BIO af op de context en structuur van ISO 27002:2022, waarbij overheidsmaatregelen worden gekoppeld aan de hoofdstukken en controles uit ISO 27002:2022.
Voorbeelden van wijzigingen
01
Een functionerend ISMS
Het concept van BIO2 verwijst meerdere keren naar de ISO27k-serie. Maatregel 5.35.1 is bijvoorbeeld als volgt gewijzigd:
- BIO1.04: Er is een beheersysteem voor informatiebeveiliging (ISMS) dat aantoonbaar de hele Plan-Do-Check-Act cyclus op een gestructureerde manier omvat.
- BIO2 Concept: Er is een functionerend ISMS in overeenstemming met ISO 27001.
De maatregel wordt daarom specifieker en vereist expliciet een ISMS in overeenstemming met ISO 27001.
02
Nieuwe en gewijzigde overheidsmaatregelen
Naast veranderingen op hoog niveau zijn ook verplichte overheidsmaatregelen gewijzigd. Hoofdstuk vijf (Organisatorisch) bevat de meest gewijzigde overheidsmaatregelen.
Sommige maatregelen zijn scherper en/of specifieker. Bijvoorbeeld, waar overheidsmaatregel 5.01.02 van BIO1.04 het periodiek bijwerken van het informatiebeveiligingsbeleid noemt, specificeert BIO2 dit als jaarlijks. Een soortgelijke verandering is opgenomen in overheidsmaatregel 8.08.04. Terwijl BIO1.04 stelt dat informatiesystemen bij voorkeur jaarlijks gecontroleerd moeten worden op "technical compliance with security standards and risks regarding actual security", stelt BIO2 "at least annually".
03
Aandacht voor verantwoordelijkheden en rollen
Er is ook meer aandacht voor verantwoordelijkheden en rollen binnen informatiebeveiliging, met name op het gebied van incident response. Overheidsmaatregel 5.01.01 stelt nu dat de volgende onderdelen beschreven en vastgesteld moeten worden:
- Verantwoordelijkheden gerelateerd aan informatiebeveiliging,
- De beveiliging van operationele technologie,
- Verantwoordelijkheden gerelateerd aan Business Continuity Management.
04
Beheer van assets en toeleveringsketens
In verschillende nieuwe overheidsmaatregelen in BIO2 wordt het belang van asset management benadrukt. Dit omvat inzicht in de eigen informatieverwerkingssystemen, evenals inzicht in leveranciers en contracten. Dit wordt weerspiegeld in de volgende nieuwe overheidsmaatregelen:
- 5.09.01: Het opstellen en bijhouden van een nauwkeurige, gedetailleerde en actuele inventaris van alle assets die gebruikt worden voor informatieverwerking.
- 5.14.04: Een actueel register bijhouden van alle systemen, webtoepassingen, IP-adressen en API's die op het internet zijn gericht.
- 5.14.05: openbaar toegankelijke websites worden gerapporteerd via het internetdomeinregister van de overheid.
- 5.22.02: Het bijhouden van een actueel register van leveranciers en afgesloten contracten.
05
Jaarlijks testen van werknemers op klikgedrag
De ontwerpteksten van BIO2 bevatten verschillende nieuwe overheidsmaatregelen met betrekking tot awareness van cybersecurity risks. Dit omvat zowel de kennis van leidinggevenden als die van werknemers. Dit blijkt uit de volgende nieuwe overheidsmaatregelen:
- 5.10.1: Leidinggevenden moeten kunnen aantonen dat zij trainingen hebben gevolgd die hen voldoende kennis en vaardigheden hebben bijgebracht om cybersecurity risico's te herkennen en de impact daarvan op de diensten en/of producten die de organisatie levert te beoordelen.
- 5.10.4: Werknemers moeten, net als leidinggevenden in 5.10.1, regelmatig training en opleiding volgen om risico's te herkennen en op de juiste manier te reageren.
- 8.07.5: Ten minste jaarlijks worden gebruikers getest op hun klikgedrag.
Hoe kunt u zich voorbereiden?
Bestudeer de ISO/IEC 27001:2022 en ISO/IEC 27002:2022. Bestudeer ook de BIO2 Guide. Deze gids maakt het mogelijk om overheidsmaatregelen uit BIO1.04 te gebruiken volgens de structuur van NEN-EN-ISO/IEC 27002:2022.
Als u al een ISMS conform ISO 27001:2022 hebt, zal de overgang niet al te groot zijn. Het is vooral belangrijk om goed op de nieuwe overheidsmaatregelen te letten.
Hebt u nog geen control framework? Dan is BIO2 in combinatie met het aankomende NIS2 een mooie gelegenheid om ermee te beginnen. Security consultants van Bureau Veritas Cybersecurity kunnen u hierbij helpen en ondersteunen.
Begin daarnaast met het opzetten en bijhouden van een inventaris van:
- Assets die worden gebruikt voor informatiebeveiliging
- Alle op internet gerichte systemen, webtoepassingen, IP-adressen en API's.
Bronnen
Over de auteur
Abe Winters, Security analist
Abe Winters is Security analist bij Bureau Veritas Cybersecurity en werkzaam in de 'Public'-marktgroep. Hij is gepassioneerd over de cybersecurity en combineert een technische achtergrond met kennis van de proceskant. Momenteel voert hij voornamelijk penetratietests uit voor klanten in de publieke sector, maar heeft ook kennis van security management met standaarden zoals de ISO 27001.
Abe heeft een MSc. in Cyber Security aan de Universiteit Twente en heeft in zijn thesis onderzoek gedaan naar de prioritering van security controls op basis van het actieve dreigingslandschap per sector.
Hoe Bureau Veritas Cybersecurity u ondersteunt
Als onafhankelijk expert op het gebied van cybersecurity kan Bureau Veritas Cybersecurity u helpen met alle aspecten van NIS2, ISO/IEC 27k en de aanvullende BIO-maatregelen. Wij kunnen u helpen met de algehele BIO Compliance, maar ook met specifieke kwesties die in de (bijgewerkte) overheidsmaatregelen aan de orde komen. Dit omvat training van uw leidinggevenden en werknemers om risico's voor cybersecurity te herkennen en erop te reageren, het uitvoeren van penetratietests, of het opzetten van een control framework en het implementeren van een ISMS in overeenstemming met ISO 27001.
Meer informatie
Wilt u meer informatie over hoe Bureau Veritas Cybersecurity u kan helpen met BIO2? Vul het formulier in en wij nemen binnen één werkdag contact met u op.
Gerelateerd
BIO Compliance
NIS2 Boardroom Training
Waarom kiezen voor Bureau Veritas Cybersecurity
Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.
We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.