Overslaan en naar de inhoud gaan
Abonneer nu
Digitale Weerbaarheid | Partner nieuws

​​BIO2 en risicomanagement

Themamaand december: Risicomanagement, van vaste basisbeveiligingsniveaus naar een maatwerkpakket aan maatregelen.

Mannenhand houdt omvallende blokken tegen.
De risicomanagementmethodiek moet moet passen bij de organisatie. | Beeld: Shutterstock

Meer van CIP

Gerelateerd

CIP organiseert op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een communicatieaanpak met evenementen en handreikingen als implementatiebegeleiding. In de maand december richten we ons op het thema Risicomanagement.

Een belangrijke wijziging is dat de drie Basisbeveiligingsniveaus (BBN’s) uit de vorige versie van de BIO zijn vervallen. Met de vernieuwde BIO2 verschuift de focus nadrukkelijk van vaste maatregelen naar risico gestuurd werken. In plaats van vooraf vastgestelde niveaus, vraagt de BIO2 van organisaties om zelf onderbouwde keuzes te maken op basis van risicoanalyses.

Dat betekent:

  • bepalen welke dreigingen relevant zijn
  • bepalen welke kwetsbaarheden er zijn
  • bepalen welke maatregelen nodig zijn om risico’s terug te brengen tot een aanvaardbaar niveau. Daarbij pas je de maatregelen uit NEN-EN-ISO/IEC 27002 risico gestuurd toe, tref je extra maatregelen waar nodig, maar implementeer je minimaal de overheidsmaatregelen uit de BIO2.

Zo zorgen we voor een basisniveau aan informatiebeveiliging voor de gehele overheid. Welke maatregelen van toepassing zijn leg je, met een risico-onderbouwing, vast in je Verklaring van Toepasselijkheid.

Deze aanpak sluit beter aan bij de praktijk. Niet elke overheidsorganisatie en niet elk proces kent dezelfde risico’s. Risicomanagement maakt maatwerk mogelijk en voorkomt schijnzekerheid. Tegelijkertijd vraagt deze aanpak om volwassenheid in governance, eigenaarschap en kennis van risico’s. 

Met de BIO2 wordt informatiebeveiliging nadrukkelijker een verantwoordelijkheid van het management en niet alleen van IT. Door structureel aandacht te besteden aan risicomanagement versterken overheidsorganisaties hun digitale weerbaarheid en kunnen zij beter inspelen op nieuwe dreigingen.

De BIO2 schrijft geen risicomanagementmethodiek voor, omdat het belangrijk is dat deze past bij de organisatie. Wel pas je je risicomanagement toe als onderdeel van je managementsysteem voor informatiebeveiliging (ISMS) op basis van NEN-EN-ISO/IEC 27001. Het risicomanagementproces kent enkele vaste stappen die in de BIO2 zijn beschreven.

Hulpmiddelen voor risicomanagement 

  • De RAVIB website. Deze website biedt verschillende hulpmiddelen op het gebied van risicobeheersing. Deze hulpmiddelen zijn gratis te gebruiken en ook open source. Door de help-functies en documentatie die aanwezig zijn in de hulpmiddelen, zijn ze eenvoudig in gebruik.
  • Dit artikel op de website van Digitale Overheid staat dit artikel met verwijzingen naar hulpmiddelen: “Nieuw beleid versterkt weerbaarheid overheidsketens”.
  • Het NCSC heeft verschillende publicaties over hoe je zelf aan de slag kunt met risicomanagement. Deze vind je op de website van het NCSC.
  • De Vereniging van Nederlandse Gemeenten (VNG) heeft het ondersteuningsaanbod voor gemeenten verzameld op de BIO2-pagina van de VNG. Dit aanbod is ook interessant voor andere overheidsorganisaties.

Het NCSC gaat één van deze publicaties toelichten in een online themasessie, dus bekijk de agenda hier onderaan.

Agenda

Sessies over de BIO2 en risicomanagement (online): 

  • Woensdag 3 december 2025 was de sessie van Jaap Noordhoek (NCSC) en Jule Hintzbergen (IBD)
  • Donderdag 18 december 2025, 15.30 sluiten we het jaar af met Ronald Holdijk (Waterschapshuis) in een IB&P themasessie over risicomanagement

De link voor een BIO2-themasessie of IB&P-themasessie is voor CIP-netwerkleden te vinden op ons besloten kanaal CIP.Pleio.nl. De link wordt ook enkele werkdagen vooraf per mail gedeeld met CIP-netwerkleden in de community (IB, Privacy, Inkoop etc.) die past bij het onderwerp. Nog geen CIP-netwerklid? Meld je aan door een mail te sturen naar cip@cip-overheid.nl.

In de komende maanden ligt de focus in de communicatie op deze BIO2 thema’s:

  • Januari: Bestuur en organisatie meenemen
  • Februari: Operationele technologie (OT) ook wel OT-security
  • Maart: Leveranciersmanagement 

We houden jullie op de hoogte via onze website, mailings en communities. 

Podcastserie BIO2 in de praktijk

De vier afleveringen van de serie ‘De BIO2 in de praktijk’ staan nu live, je kunt ze beluisteren op de website van bio-overheid.nl. Ze zijn ook te vinden via je favoriete podcastapp.

Meer informatie over de BIO2

CIP

Over CIP

Lees meer van CIP

Lees meer

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Inloggen

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.
(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in