Overheid heeft nieuwe BIO2-richtlijn voor beveiligen van systemen

In dit artikel:

De Nederlandse overheid heeft de Baseline Informatiebeveiliging Overheid 2 (BIO2) ingevoerd, een nieuw normenkader dat risicomanagement centraal stelt bij het beschermen van systemen en informatie. Het Overheidsbreed Beleidsoverleg Digitale Overheid stelde de BIO2 gisteren vast; de richtlijn treedt direct in werking als verplichte zelfregulering voor het Rijk, provincies en waterschappen, en als richtinggevend kader voor gemeenten.

BIO2 vervangt de eerdere BIO-indeling met drie basisbeveiligingsniveaus en sluit aan op de internationale ISO/IEC‑normen voor informatiebeveiliging. Daardoor kunnen overheidsorganisaties maatregelen flexibeler afstemmen op concrete risico’s in plaats van vast te houden aan voorgedefinieerde niveaus. Praktische verplichtingen en aanbevelingen omvatten onder meer multifactorauthenticatie, het beschikbaar stellen van een wachtwoordmanager voor medewerkers, monitoring van accounts met bijzondere rechten, penetratietests, bewustwordingsprogramma’s, aandacht voor toeleveringsketens en leveranciersafspraken, en het altijd testen van ingrijpende wijzigingen in productieomgevingen.

Met BIO2 wil de overheid een gemeenschappelijk minimumniveau van informatieveiligheid bereiken en tegelijk ruimte bieden voor maatwerk op basis van risicoanalyse.