Informatiebeveiligingseisen

Baseline Informatiebeveiliging Overheid en NIS2

De overheid hanteert per 2019 één basisniveau voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). De BIO geeft aan welke beveiligingsniveaus bestaan voor bijvoorbeeld (fysieke) toegangsbeveiliging en bescherming tegen malware. De BIO is gebaseerd op de actuele internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002) en heeft risicomanagement als uitgangspunt. 

BIO2

Op 23 september 2025 is de Baseline Informatiebeveiliging overheid 2 (BIO2) vastgesteld door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). De BIO2 is de opvolger van de BIO 1.04zv. Veel overheidsorganisaties zijn al bezig met de invoering van de BIO2. Dit levert vragen op. Er is dan ook een overzicht van veelgestelde vragen opgesteld. Op deze pagina vind je ook de versies van de BIO2.

NIS2

De BIO2 geeft invulling aan de zorgplicht uit de Cyberbeveiligingswet (Cbw). De Cbw is een implementatie van de Network and Information Security Directive, ook wel NIS2-richtlijn. Deze richtlijn is gericht op de verbetering van de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten. De Cbw verplicht organisaties om passende beveiligingsmaatregelen te nemen (zorgplicht) en ernstige incidenten te melden (meldplicht). De implementatie van de richtlijn loopt vertraging op.

Invoering BIO2 en Cbw

BIO2 is onderdeel van de Cbw. Oorspronkelijk zou de Cbw, inclusief de BIO2, per 1 oktober 2025 van kracht worden. De verwachting is nu dat de Cbw in de eerste helft van 2026 zal worden vastgesteld.​ Tegelijkertijd loopt ook de implementatie van de Critical Entities Resilience Directive (CER), die wordt omgezet in de Wet weerbaarheid kritieke entiteiten (Wwke).

Inkoopeisen Cybersecurity Overheid

De BIO is gericht op overheidsorganisaties. Voor eisen die overheidsorganisaties aan veilige producten van leveranciers stellen, is de BIO te breed omdat het allerlei facetten bevat die alleen op de processen van de eigen organisatie betrekking hebben. Daarnaast is de BIO te weinig specifiek voor het stellen van scherpe eisen aan de veiligheid op het niveau van ingekochte producten en diensten van leveranciers.

Het ministerie van Binnenlandse Zaken en het ministerie van Economische zaken ontwikkelden daarom Inkoopeisen Cybersecurity Overheid (ICO). Deze eisen zijn volledig gebaseerd op de BIO en geven specifieke inkoopeisen voor ICT producten en diensten.

ICO-Wizard

In opdracht van het ministerie van Binnenlandse Zaken en het ministerie van Economische zaken ontwikkelde Centrum Informatiebeveiliging en Privacybescherming (CIP) de ICO-Wizard. De noodzaak om die scherpere specifieke informatiebeveiligingseisen te stellen heeft geleid tot verdiepende, naar thema’s georiënteerde uitwerkingen, die steunen op de BIO-normen en die blinde vlekken aanvullen met behulp van normen uit andere internationale marktstandaards.

De ICO-Wizard helpt om de juiste informatiebeveiligingseisen te selecteren. Een tool, voor de gehele overheid, waarmee eisenpakketten kunnen worden geselecteerd die aansluiten op verschillende typen aan te besteden/in te kopen producten/diensten.

De ICO-eisen in de wizard zijn aangevuld met Privacy-by-Design-eisen, eisen uit de Wet Politie Gegevens (WPO), verplichte Overheidsmaatregelen uit de Baseline Informatiebeveiliging Overheid (BIO) en met cybersecurity-eisen uit de Algemene Beveiligingseisen Defensie Opdrachten (ABDO).

Op basis van een eigen risicoanalyse kun je, via MS-Word of MS-Excel, de eisen uit de ICO-Wizard verzwaren of verlichten. Die eisen kun je eenvoudig toevoegen aan het Programma van Eisen (PvE).

Meer weten?

Lees dan voor meer informatie over dit onderwerp de pagina Inkoopeisen voor informatiebeveiliging.