BIO, de Baseline Informatiebeveiliging Overheid, 2.0 komt eraan! Naar verwachting zal deze in de loop van 2025 worden gepubliceerd. Hoewel op de website van bio-overheid.nl al de handleiding te vinden is, bestaat er ook nog veel onduidelijkheid over. Want wat is er nieuw? Wat kan men verwachten van deze nieuwe update die van toepassing zal zijn voor iedereen die werkzaam is binnen de provincies, gemeente, waterschap of de Rijksoverheid.
NIS2 en de BIO 2.0
In de nieuw gepubliceerde NIS2 is vastgelegd dat de BIO 2.0 niet langer een advies is, maar wettelijk wordt vastgelegd en dus een verplichting wordt. Alle overheidsinstanties moeten hier dus aan voldoen. Essentiële overheidsorganisaties zullen dan ook worden getoetst of ze aan alle gestelde voorwaarden voldoen.
De nieuwe Cyberbeveiligingswet wordt volgens de nieuwste berichten in het tweede kwartaal van 2025 gelanceerd. Op dat moment zijn overheden wettelijk verplicht om aan de eisen te voldoen en zo ook aan de BIO. Op dat moment geldt er dus geen overgangsperiode meer, wat betekent dat overheidsinstanties hier al vanaf begin 2025 mee aan de slag moeten gaan.
Overheden worden geadviseerd om nul-meting audit uit te laten voeren
Maar hoe weten overheidsinstanties of ze al aan de gestelde voorwaarden voldoen? Aanbevolen wordt om een nul-meting audit uit te voeren. https://www.digitrust.nl/certificeren/iso-27001-certificering/ heeft speciaal voor de lancering van BIO 2.0 een specifieke BIO 2.0 audit beschikbaar gesteld. Deze levert direct een heldere rapportage en beoordeeld per onderdeel of een organisatie aan de nieuwe voorwaarden voldoet of niet. Dit rapport kan vervolgens worden gebruikt als basis voor een verbeterplan of om verantwoording af te leggen bij een controle. Organisaties kunnen een audit aanvragen via sales@digitrust.nl.
Ook relevante leveranciers moeten aan de BIO 2.0 voldoen
Als overheidsinstantie beschik je over de plicht om de organisatie veilig te houden en de risico’s te beperken. Organisaties die onder de Cyberbeveiligingswet vallen (CBW) moeten ook nagaan welke relaties ze momenteel hebben met relevante leveranciers. De BIO vertelt ons dat ook deze leveranciers vanaf 2025 moeten voldoen aan de nieuwe wetgeving.
Maar hoe weet je of ook de leveranciers hieraan voldoen? Dit kan worden beoordeeld middels een 2-daagse audit: BIO in control verklaring. Hierbij wordt beoordeeld of de leverancier daadwerkelijk aan de regels van de nieuwe update voldoet en ben je in staat om maatregelen te treffen als dit nog niet het geval is. Er wordt daarbij vanuit gegaan dat de leverancier al onder accreditatie ISO27001 is gecertificeerd.
Kom vroegtijdig in actie
Het duurt nog even voordat de RDI echt gaat controleren of de organisaties voldoen aan de BIO 2.0. Daarom is juist nu de tijd om in actie te komen en te controleren in hoeverre jouw bedrijf hieraan voldoet en welke puntjes van verbetering er nog zijn. Zo is men in staat om maatregelen te treffen, nog voordat ze gecontroleerd gaan worden.
Meer lezen