BIO2: Vernieuwde Baseline Informatiebeveiliging overheid gepubliceerd

De BIO2 kent de volgende vastgestelde versie:

• Baseline Informatiebeveiliging Overheid 2 versie 1.2 24 september 2025
• Deel 2 van de BIO2 is ook beschikbaar in Excel, inclusief een Was-wordt-lijst BIO.

Wat is er gewijzigd met de BIO2?

De BIO2 wijkt op meerdere punten af van haar voorganger. De belangrijkste wijzigingen zijn als volgt:

• Er is een nieuwe structuur volgens NEN-EN-ISO/IEC 27002:2022 (nl).
• De drie basisbeveiligingsniveaus (BBN’s) worden losgelaten. De focus verschuift daarmee verder naar risicomanagement.
• De verantwoordelijken zijn in het algemeen beschreven, niet langer per beheers- en overheidsmaatregel. 
• Afstemming met de NIS2-richtlijn. De BIO2 is in lijn gebracht met de Europese Network and Information Security Directive 2 (NIS2-richtlijn), specifiek artikel 21 over cyberbeveiligingsmaatregelen.
• De BIO2 wordt regelgeving. Waar de BIO 1.04zv verplichtende zelfregulering is, krijgt de BIO2 een juridische basis. De BIO2 wordt namelijk juridisch gekoppeld aan de Cyberbeveiligingswet (Cbw), de Nederlandse vertaling van de NIS2-richtlijn, via een ministeriële regeling voor de sector Overheid. Overheidsmaatregelen die hierop aansluiten, zijn in de BIO2 voorzien van het label Basishygiëne.
• Deel 3 Addendum BIO is verwijderd. Deel 3 met specifieke verplichte eisen per overheidslaag vervalt.

(Wanneer) is de BIO2 verplicht?

Vanaf het OBDO van 23 september 2025 tot de inwerkingtreding van de Cbw hanteren provincies, waterschappen en het Rijk de BIO2 als verplichtende zelfregulering. De BIO 1.04zv komt daarmee voor hen te vervallen. Gemeenten blijven in deze periode de BIO 1.04zv als verplichtende zelfregulering gebruiken, maar passen de BIO2 daarnaast al toe als richtinggevend kader. In samenwerking maken de betrokken partijen afspraken over de toepassing van de BIO2, waarbij de keuze van de (hoofd)opdrachtgever bepaalt welke versie leidend is.

De BIO2 wordt opgenomen in de ministeriële regeling voor de sector Overheid onder het Cyberbeveiligingsbesluit (Cbb), als onderdeel van de implementatie van de NIS2-richtlijn. Met de ingang van de Cbw is de BIO2 voor overheidsorganisaties wettelijk verplicht.
De BIO2 blijft ook na de inwerkingtreding van de Cbw gelden als verplichtende zelfregulering voor organisaties die niet onder de Cbw vallen. Dergelijke organisaties bij de Rijksdienst, zoals het Ministerie van Defensie en de AIVD blijven gebonden via een besluit dat via de ministerraad wordt vastgesteld. Verplichtende zelfregulering blijft ook van kracht voor overheidsmaatregelen die buiten de scope van de Cbw vallen.

Uit welke verplichtingen bestaat de BIO2?

De BIO2 bestaat uit de volgende verplichtingen:

• NEN-EN-ISO/IEC 27001 toepassen voor het inrichten van een informatiebeveiligingsmanagementsysteem /Information security management system (ISMS).
• NEN-EN-ISO/IEC 27002 én de verplichte overheidsmaatregelen uit de BIO2 moeten worden toegepast op het formuleren van passende beheersmaatregelen.
• Organisaties tonen opzet, bestaan en werking van maatregelen aan.

Starten met de implementatie van de BIO2?

Belangrijke eerste stappen zijn:

• Voer een gap-analyse uit om de verschillen tussen de huidige situatie en de BIO2 in kaart te brengen. Je kunt hierbij gebruik maken van de Baseline Informatiebeveiliging Overheid - Self Assessment (BIO-SA).
• Breng de uitvoeringskosten in beeld.
• Begin met risicomanagement op basis van de BIO2.

BIO2 op bio-overheid.nl

Alle informatie over de BIO2 is te vinden op de BIO-website. Zo vind je hier deze BIO2-producten:

• De vernieuwde BIO2 in Excel, Wordt-was-lijst BIO en de handreiking BIO2-opmaat. Deze zijn nu samengevoegd in één bestand met meerdere tabbladen.
• De Baseline Informatiebeveiliging Overheid - Self Assessment (BIO-SA).

CIP organiseert op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een communicatieaanpak met evenementen en handreikingen als implementatiebegeleiding. In de komende maanden ligt de focus in de communicatie op deze thema’s: Information security management system (ISMS), Risicomanagement binnen de Cbw/BIO2, Bestuur en organisatie meenemen, Operationele technologie (OT) ook wel OT-security en de Cbw/BIO2, Leveranciersmanagement en de Cbw/BIO2. We houden jullie op de hoogte via onze website, mailings en communities.

Vragen over de BIO2?

Voor inhoudelijke vragen kun je terecht bij:

• De CISO of informatiebeveiligingsfunctionaris binnen je organisatie of koepel.
• De officiële website BIO-website van BIO-overheid.
• De BIO-community op CIP Pleio Forum BIO en bio@cip-overheid.nl.
• Of neem via het contactformulier contact met ons op. We zullen binnen drie werkdagen reageren.

Op GitHub-pagina van de BIO2 kun je BIO-wijzigingsverzoeken indienen.

Waar vind ik het ondersteuningsaanbod?

De verschillende overheidsorganisaties hebben ook gezorgd voor aanvullend ondersteuningsaanbod voor de implementatie van de BIO2.

Digitale OverheidHet WaterschapshuisInformatiebeveiligingsdienst VNG. Gemeenten kunnen contact zoeken met de IBD (info@IBDgemeenten.nl). Op de IBD-website is een groot aantal aan de BIO2 gerelateerde producten te vinden.