Gratis demo Contact
Ben je klaar voor de BIO2?

Ben je klaar voor de BIO2?

Door: Ron Kuper 24 september 2025

24 september 2025 is de nieuwe BIO2 (Baseline Informatiebeveiliging Overheid 2) beschikbaar. De BIO standaard vormt sinds 2018 het beveiligingsnormenkader voor de gehele overheid. Een update was nodig om voorbereid te zijn op komende beveiligingsdreigingen én op de invoering van de nieuwe Cyberbeveiligingswet (Cbw). Daarnaast is de tekst in lijn gebracht met de laatste versies van de ISO 27001 en 27002 standaarden. In deze blog geven we een samenvatting van de belangrijkste wijzigingen en vertellen we hoe je ervoor kunt zorgen dat je voldoet aan die BIO2.

Wat is de BIO?

Nog even kort, wat is de BIO

Tot 2020 gebruikten het rijk, gemeenten, waterschappen en provincies allemaal eigen specifieke beveiligingsnormen. Zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG), Interprovinciale Baseline Informatiebeveiliging (IBI) en Baseline Informatiebeveiliging Waterschappen (BIWA). Onhandig uiteraard omdat binnen die verschillende overheidsniveaus de risico’s en eisen vaak vergelijkbaar waren.

Daarom is in 2018 de Baseline Informatiebeveiliging Overheid 1.0 ingevoerd die één set normen bood voor alle relevante organisaties. Die eerste BIO is daarna nog een paar keer aangepast tot de versie BIO 1.04zv die sinds 2020 van kracht was. 24 september is die vervangen door de BIO2.

Bij de BIO besloot men niet het wiel opnieuw uit te vinden, maar deze zoveel mogelijk te baseren op de bekende ISO 27001 norm en de bijbehorende ISO 27002. ISO 27001 is dé norm voor het opzetten van een ISMS (Information Security Management System). Uitgangspunt daarbij is dat je niet zomaar een set maatregelen implementeert, maar begint met een risico analyse voor jouw specifieke organisatie. Een analyse die je bovendien regelmatig actualiseert. Aan de hand daarvan bepaal je welke maatregelen nodig zijn en wel (rest)risico’s acceptabel zijn.

ISO 27001 biedt daarvoor een set maatregelen die je afhankelijk van de actuele risico’s kunt inzetten. ISO 27002 geeft vervolgens per maatregel een specifieke invulling en voorbeelden. De BIO heeft deze maatregelen waar relevant aangepast en/of uitgebreid met overheid specifieke maatregelen.

De oude BIO refereerde daarbij aan de ISO 27001:2017 en ISO 27002:2017. Inmiddels zijn deze standaarden geactualiseerd en dat was een van de aanleidingen om ook de BIO te moderniseren.

Wijzigingen BIO2 ten opzichte van BIO 1.04zv

Wijzigingen BIO2 ten opzichte van BIO 1.04zv

In BIO2 zijn verschillende wijzigingen doorgevoerd ten opzichte van de eerdere BIO. Hiermee zijn overheidsorganisaties beter voorbereid op toekomstige dreigingen en omstandigheden.

Risico gebaseerde aanpak

De oude BIO gebruikte voor risicoanalyses de zogeheten Basisbeveiligingsniveaus (BBN's). Voor ieder organisatieproces werd bekeken welk BBN niveau van toepassing was en dat bepaalde welke maatregelen noodzakelijk waren. Met maar drie van zulke BBN-niveaus (BBN , 2 en 3) was dat een behoorlijk rigide aanpak. Daarom is dit binnen de BIO2 losgelaten en maakt iedereen voortaan een eigen risicoanalyse en bepaal je aan de hand daarvan je maatregelen. Dat is flexibeler en effectiever.

Nieuwe ISO 27001 en 27002 structuur

Zoals aangegeven leunt de BIO voor de daadwerkelijke beveiligingsmaatregelen op ISO 27001 en 27002. In bijlage A van ISO 27001 vind je een lijst met beheermaatregelen die vervolgens in ISO 27002 verder zijn uitgewerkt, inclusief best practices. Met de actualisering van deze ISO standaarden (ISO 27001:2023 en ISO 27002:2022) is deze lijst beheersmaatregelen vereenvoudigd, ingekort en geactualiseerd:

  • In de oudere ISO standaard waren er 14 categorieën waarbij het soms verwarrend was wat onder welke categorie viel. Er zijn nu vier eenvoudige categorieën: Organisatie, Mensen, Fysiek en Technisch.

  • Ook is de maatregelenlijst zelf teruggebracht van 114 tot 93 maatregelen.

  • Tegelijk is in de nieuwe set maatregelen natuurlijk rekening gehouden met de meest actuele dreigingen en ontwikkelingen.

De BIO2 gebruikt deze ISO beheermaatregelen als uitgangspunt en net als bij de eerdere BIO zijn de beheersmaatregelen waar nodig aangepast en/of aangevuld voor gebruik binnen de overheid.

NIS2 richtlijnen

De nieuwe Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de Europese NIS2-richtlijn (Network and Information Security). Deze wet verplicht organisaties om passende beveiligingsmaatregelen te nemen en ernstige beveiligingsincidenten te melden. De nieuwe BIO2 biedt het kader en de specifieke beheersmaatregelen om aan deze verplichtingen te voldoen.

De BIO 2 implementeren

De BIO2 uitrollen binnen je organisatie

Inmiddels is de BIO2 beschikbaar en zijn er ook ondersteunende documenten beschikbaar zoals een BIO Self-Assessment, FAQs en een zogeheten ‘was-wordt’ lijst. Daarnaast start het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) de komende maanden meerdere informatiecampagnes rondom de BIO2 en de nieuwe Cyberbeveiligingswet (Cbw). Thema’s zijn onder andere:

  • Hoe richt je een basis-ISMS (Information Security Management System) in volgens ISO 27001?

  • Risicomanagement binnen de Cbw en BIO2 en hoe dat zich verhoudt tot toezicht en verantwoording?

  • Hoe betrek en activeer je als CISO het bestuur en de verdere organisatie bij de invoering van de Cbw en BIO2?

  • Hoe beveilig je operationele technologie (OT). En specifiek voor waterschappen, welke rol speelt de CSIR?

  • Hoe borg je informatiebeveiliging in samenwerking met leveranciers?

Voldoen aan de BIO2 eisen

Hoe helpt HelloID bij jouw BIO2 verplichtingen?

BIO2 biedt overheidsorganisaties dus kaders om de informatiebeveiliging structureel op orde te krijgen. Het beheer van eindgebruikers en hun rechten is daarbij een steeds belangrijker onderwerp. Medewerkers, partners en klanten mogen immers alleen toegang krijgen tot applicaties en data volgens het ‘principle of least privilege’. Ook is het noodzakelijk dat alle IT-activiteiten zijn te traceren tot het niveau van individuele gebruikers. Het maakt Identity Management een belangrijk gereedschap bij de realisatie van een ‘BIO2-proof’ informatiebeveiliging.

HelloID was al voorbereid op de ondersteuning van de eerdere BIO en dat geldt ook voor de BIO2. Bovendien zorgen we met aanvullende governance functies dat overheidsorganisaties hun rechtenbeheer steeds beter kunnen evalueren en optimaliseren. Met features als onder andere reconciliation, recertification en toxic rules beheer houden we systemen consistent, krijg je meer grip op het gebruik van self-service producten en implementeren we een extra vangnet voor je segregation of duties.

Deze checklist bied je een snel eerste overzicht waar en hoe HelloID kan bijdragen aan de implementatie van jouw BIO2 maatregelen.

Bekijk de BIO2 checklist

Ron Kuper

Geschreven door:
Ron Kuper

Ron is Business Consultant bij Tools4ever en richt zich met name op het matchen van de business vraagstukken met de mogelijkheden vanuit de software. Daarbij maakt hij gebruik van zijn ervaringen in proces ontwerp, project aanpak en past dit toe in best practices voor de verschillende marktsegmenten.