of 59345 LinkedIn

Overheden, let op: de BIO komt eraan

Overheden, let op: de BIO komt eraan. Maatregelen die samen voor een basisbeveiliging zorgen
KPN Lokale Overheid Reageer

Informatiebeveiliging is cruciaal voor iedere organisatie. Voor overheidsinstanties geldt dit zo mogelijk nog sterker. Zij beheren grote hoeveelheden gevoelige persoonsgegevens waar ze als een ‘goed huisvader’ mee om moeten gaan. Vanaf 1 januari 2020 hebben alle overheidslagen bij de beveiliging van informatie te maken met de Baseline Informatiebeveiliging Overheid (BIO). Vier vragen, én antwoorden, over de BIO.

Wat is de BIO?

Om de informatiebeveiliging op orde te hebben, moeten instanties voor zichzelf beleid vastleggen en (voor de uitvoering) regels en procedures vaststellen. Bovendien moeten ze naar buiten toe kunnen bewijzen dat ze zich ook daadwerkelijk aan die regels houden. Gelukkig hoeven ze daarvoor niet iedere keer het wiel opnieuw uit te vinden.

 

Voor informatiebeveiliging bestaan internationaal geaccepteerde normen. Denk aan NEN/ISO 27001 en NEN/ISO 27002. Deze normen zijn overal hetzelfde en kunnen relatief eenvoudig worden getoetst door onafhankelijke auditors. Om te voldoen aan deze normen kunnen organisaties de beveiliging baseren op een ‘baseline’. Dit is een set aan maatregelen die samen voor een basisbeveiliging zorgen. De BIO is een nieuwe baseline die overheden vanaf 1 januari 2020 in gebruik moeten nemen.


Waarom een nieuwe baseline?

Op papier lijkt alles koek en ei. De overheden houden zich immers nu al aan bestaande normen voor informatiebeveiliging. Ze kunnen het ook hard maken met audits. Maar het probleem is dat op dit moment iedere soort overheid nét een andere mix van normen gebruikt met verschillende maatregelen, en dus een eigen baseline heeft. Gemeenten hanteren bijvoorbeeld de Tactische Baseline Informatiebeveiliging Gemeenten (BIG), terwijl het rijk uitgaat van de Baseline Informatiebeveiliging Rijksdienst (BIR). Waterschappen en provincies hebben ook hun eigen baselines.

 

Om het nog complexer te maken: deze baselines verschillen op cruciale details van elkaar, maar ze zijn onderling wel van elkaar afhankelijk. Als de gemeenten de BIG zou willen aanpassen, moest het rijk eerst de BIR veranderen. Dat is geen wenselijke situatie nu de overheid digitaliseert en steeds meer gevoelige gegevens verwerkt. Met de BIO hebben alle overheidslagen de beschikking over een moderne en gezamenlijke baseline voor informatiebeveiliging.


Wat verandert er met de BIO?

De overheid heeft de samenstelling van de baseline grondig geüpdatet. Waar de BIG bijvoorbeeld een grote nadruk legt op specifieke maatregelen die gemeenten in bepaalde gevallen moeten of kunnen nemen, gaat de BIO vooral over risicomanagement. De BIO bevat daarom veel minder concrete maatregelen, maar ze zijn wel allemaal verplicht. De maatregelen worden daarnaast vooraf toegewezen aan een eindverantwoordelijke, en er komen drie basisbeveiligingsniveaus (BBN’s) met elk een eigen regime. Hoe hoger het BBN, hoe strenger het toezicht en de te nemen maatregelen.


Hoe kunnen overheden zich voorbereiden?

Als het goed is, zijn ze daar al mee begonnen. 2019 is een overgangsjaar waarin overheden zich aanpassen aan de nieuwe baseline. Dat begint met het beantwoorden van de twee meest prangende vragen:

  • Wie is verantwoordelijk voor welk informatiesysteem?

  • Hoe is het risicomanagement binnen de organisatie ingericht?

 

Deze twee vragen zijn zo belangrijk, omdat het om twee fundamentele verschuivingen gaat die de BIO veroorzaakt ten opzichte van de bestaande baselines.

 

De Vereniging van Nederlandse Gemeente (VNG) beschrijft een volledig stappenplan in de Introductie aanpak BIO. De VNG biedt ook andere documenten met meer specifieke adviezen, en een baselinetoets waarmee overheidsinstanties de BBN’s kunnen bepalen.


Meer weten

De BIO wordt dus vanaf 1 januari verplicht, maar overheden zijn nu al bezig met de implementatie ervan. Overheden die op dat punt achterlopen, doen er goed aan om het snel op te pakken. Want informatiebeveiliging kent in deze wereld hoge prioriteit.

 

Heeft u hierbij advies nodig? Neem dan contact met ons op:

Neem contact op
Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Overvolle vuilcontainers

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers