Cybersecurity is uitgegroeid tot een strategische managementtaak waarvoor de bestuurder eindverantwoordelijkheid draagt. In dit artikel staan we stil bij de overgang naar de Cbw en de BIO2 en de wijze waarop u het verschil kunt maken in de ontwikkeling van een veiligere digitale overheid.
Bestuurders aan zet met de Cbw en BIO2!
De digitale weerbaarheid van onze organisaties is niet langer een vrijblijvende optie, maar een absolute noodzaak geworden om de continuïteit van de publieke zaak en het vertrouwen van de burger te kunnen waarborgen. Met de NIS2-richtlijn, die in onze nationale context wordt vertaald naar de Cyberbeveiligingswet (Cbw), komen bestuurders aan zet.
Van de Europese NIS2-richtlijn naar de Nederlandse Cbw
De oorsprong van de verandering ligt bij de Network and Information Security Directive (NIS2-richtlijn), die eind 2022 door de Europese Unie werd vastgesteld. Deze heeft als doel de digitale weerbaarheid van alle lidstaten significant te verhogen. Met de komst van de NIS2-richtlijn is het aantal sectoren dat eronder valt aanzienlijk vergroot. Daarnaast zijn de verplichtingen veel strikter geformuleerd om ongewenste verschillen tussen de lidstaten te voorkomen.
U moet samen met uw lijnmanagement en de CISO de handschoen oppakken om uw organisatie veiliger te maken.
Voor u als bestuurder binnen de publieke sector is de impact groot: de overheid is namelijk aangewezen als een van de nieuwe sectoren die volledig aan de verplichtingen moet voldoen. De Rijksoverheid werkt sinds 2023 aan de implementatie van deze richtlijn in de nationale Cyberbeveiligingswet (Cbw). Deze wet legt uw organisatie drie kernverplichtingen op:
- Zorgplicht: U bent verplicht om passende technische en organisatorische maatregelen te nemen om de netwerk- en informatiesystemen te beveiligen.
- Registratieplicht: Uw organisatie moet zich officieel aanmelden bij het daarvoor bestemde entiteitenregister.
- Meldplicht: Incidenten met een aanzienlijke impact moeten direct worden gemeld aan zowel de toezichthouder als het Computer Security Incident Response Team (CSIRT).
Onder de Cyberbeveiligingswet zijn een aantal van deze eerder genoemde verplichtingen verder uitgewerkt. Zo bevat het Cyberbeveiligingsbesluit, de algemene maatregel van bestuur, uitwerkingen van de Cbw die voor álle sectoren geldt. Tenslotte is er een Cyberbeveiligingsregeling met specifieke regels voor de sector overheid. Hierin wordt bijvoorbeeld uitgewerkt wanneer een incident gemeld moet worden en wordt de Baseline Informatiebeveiliging Overheid (BIO) 2 wettelijk verankerd als zorgplicht.
Risicogerichte focus
Sinds 2018 beschikt de overheid met de komst van de eerste BIO over één gezamenlijk normenkader voor alle gemeenten, provincies, waterschappen en de Rijksoverheid. Dit biedt grote voordelen, zoals een betere afstemming binnen ketens en het verlichten van administratieve lasten door aan te sluiten bij internationale regelgeving.
© Shutterstock
Echter, de wereld is sinds 2018 drastisch veranderd. De huidige dreiging vereist een hoger volwassenheidsniveau informatiebeveiliging van uw organisatie. De BIO2 weerspiegelt de herziene internationale beveiligingsnormen (NEN-EN-ISO 27001 en 27002) en neemt afscheid van de oude indeling met Basisbeveiligingsniveaus (BBN’s). In plaats daarvan komt een expliciete risicogerichte benadering: als onderdeel van uw eigen Information Security Management Systeem (ISMS) bepaalt u op basis van uw eigen risicoanalyses welke maatregelen noodzakelijk zijn, zonder vast te zitten aan rigide, vooraf bepaalde niveaus.
Het is niet langer de vraag of uw organisatie slachtoffer wordt van een cyberaanval, maar wanneer dit zal gebeuren. In het verleden lag de focus primair op preventie (het buiten de deur houden van aanvallers), maar met de BIO2 gaat er meer aandacht naar detectie, response en herstel. Dit moet uw organisatie robuust en veerkrachtig maken, zodat u ook tijdens een incident of crisis uw publieke taken kunt blijven uitvoeren.
Wettelijke verankering en toezicht
De BIO2 wordt onderdeel van de wettelijke verankering in de Cbw. Organisaties moeten zich dus actief moeten verantwoorden over de naleving van deze wet. Het toezicht is scherp geregeld: de Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op de sector overheid, terwijl de Inspectie Leefomgeving en Transport (ILT) dit doet voor de weg- en watersector.
In een snel veranderend landschap kunnen risico's soms worden onderschat.
In september 2025 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) besloten tot de toepassing van de BIO2. Provincies, waterschappen en de Rijksoverheid hanteren de BIO2 sindsdien direct als verplichtende zelfregulering, waarbij de oude BIO (v1.04) is komen te vervallen. Voor gemeenten geldt een overgangsregeling: de BIO2 is voor hen momenteel richtinggevend, terwijl de BIO v1.04 de verplichtende norm blijft tot de Cbw in werking treedt. Begin maart is versie 1.3 van de BIO2 reeds in de Staatscourant gepubliceerd; de Cbw zal rechtstreeks naar deze publicatie verwijzen. Op dit moment is de Cyberbeveiligingswet aangeboden voor parlementaire behandeling. Deze treedt in werking zodra de Tweede- en de Eerste Kamer ermee instemmen.
Nieuwe kennis en kunde voor de bestuurder
De implementatie van de Cbw en BIO2 brengt onvermijdelijk uitdagingen, kosten en inspanningen met zich mee. In de huidige geopolitieke werkelijkheid moeten we nu investeren om de basisveiligheid op orde te brengen. Als bestuurder bent u hierin de spil; u moet samen met uw lijnmanagement en de CISO de handschoen oppakken om uw organisatie veiliger te maken.
Onderdeel van de Cbw is dat bestuurders expliciet de verantwoordelijkheid krijgen voor de beveiliging van hun netwerk- en informatiesystemen. Het is een positieve ontwikkeling dat de wet van bestuurders vraagt om een training te volgen. Het doel is niet dat u technisch kunt uitleggen hoe malware tot op de bit nauwkeurig functioneert, maar wel dat u effectief kunt (be)sturen op het terrein van cybersecurity. Als bestuurder moet u de volgende vijf zaken scherp hebben:
- Waarde en dreiging: Wat hebben wij in huis dat van waarde is, welke partijen hebben daar interesse in en wat zouden zij ermee kunnen doen? Waar staat onze autonomie onder druk door externe afhankelijkheden?
- Impact: Wat is de werkelijke impact op onze organisatie en de maatschappij als deze informatie wordt gestolen of systemen wegvallen?
- Weerbaarheid: Hebben we voldoende maatregelen genomen en kunnen we er echt op vertrouwen dat deze effectief zijn als het erop aan komt?
- Kwetsbaarheden: Zijn er nog zwakke plekken, kan ik de risico’s die daaruit voort komen dragen en welke plannen liggen er om deze te mitigeren?
- Crisisbeheersing: Wat doet de organisatie op het moment dat het toch misgaat, én bent u in staat om op dat moment uw bestuurlijke rol te pakken?
Als bestuurder het verschil maken
U vertrouwt natuurlijk op de deskundigheid van uw professionals, maar wees alert op de kwetsbaarheid van uw eigen informatiepositie. In een snel veranderend landschap kunnen risico’s soms worden onderschat, en de hiërarchie binnen een organisatie kan een dempend effect hebben op slecht nieuws. Wees daarom kritisch op té positieve rapportages.
U kunt direct actie ondernemen door:
- Een goede relatie met uw CISO op te bouwen: Spreek minimaal ieder kwartaal met uw CISO en creëer een veilige cultuur waarin men eerlijk over problemen durft te communiceren. Bestuurder en CISO moeten elkaars taal leren spreken. Een informeel hapje eten kan de basis leggen voor deze cruciale werkrelatie.
- Te sturen op de naleving van de Cbw plichten: Volg de verplichte training en zoek uit of uw organisatie zich al heeft geregistreerd. Zijn de processen aangepast om belangrijke incidenten te melden? Is er voldoende zicht op de risico’s en hoe staat het met de implementatie van de BIO2?
- Typische managementuitdagingen aan te pakken: Cybersecurity gaat over het verbinden van eilandjes, het regelen van voldoende middelen en het wegnemen van weerstand tegen beveiligingsmaatregelen binnen de organisatie.
- Het goede voorbeeld te geven: Volg zelf de cyberhygiëne-voorschriften op en spreek anderen op hun gedrag aan. Lock uw laptop, draag uw toegangspas zichtbaar en wees extra waakzaam tijdens buitenlandse reizen.
- Security-by-design te eisen: Betrek specialisten direct bij het prille begin van nieuwe plannen. Net zoals bij het ontwerp van een fysieke brug de veiligheid vanaf de eerste schets wordt meegenomen, moet dit ook gelden voor onze digitale infrastructuur..
Samen aan de slag als één overheid
De opgave om Nederland digitaal weerbaarder te maken, kunnen we alleen volbrengen als we de handschoen samen oppakken: als één overheid, maar ook in nauwe samenwerking met het bedrijfsleven. Security-talent is schaars, dus het delen van kennis en het leren van elkaars successen is essentieel. Dit sluit naadloos aan bij het coalitieakkoord en de Nederlandse Digitaliseringsstrategie (NDS), waarin digitale weerbaarheid en autonomie als topprioriteiten zijn benoemd.
U staat er niet alleen voor. Er is ondersteuning beschikbaar om de kloof tussen de bestuurstafel en de security-professional te overbruggen:
- Vanuit het ministerie van Binnenlandse zaken en Koninkrijksrelaties en het Centrum voor Informatiebeveiliging en Privacy (CIP) is in januari een update gepubliceerd van de handreiking ‘De bestuurder aan zet’, inclusief concrete KPI’s voor effectieve sturing.
- De Cyber Security Raad (CSR) biedt ook een praktische handreiking voor bestuurders.
- In 2026 wordt door het CIP een ‘bestuurlijke proeftuin’ gelanceerd om de samenwerking tussen professionals en bestuurders in de praktijk te versterken en van elkaar te leren.
Meer informatie: www.bio-overheid.nl
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.