Baseline Informatiebeveiliging Overheid of BIO: de verplichte standaard waar alle overheden aan moeten voldoen, waaronder gemeenten. Ook bedrijven en organisaties waarmee gemeenten samenwerken, zoals Sociale Werkvoorziening-bedrijven, krijgen steeds meer met de BIO te maken.
Het is een goed idee om hier nu actie op te ondernemen. Op 2 november organiseert Arrix daarom een kennissessie over dit onderwerp. In deze blog vertellen we er alvast iets meer over en waarom het voor bedrijven en organisaties belangrijk is.
Een aantal jaar geleden hadden alle overheidslagen en -diensten een eigen invulling voor ‘passende beveiliging’ op het gebied van IT. Dat betekende dat de Rijksoverheid een eigen standaard had (BIR) had, maar ook de gemeenten, die uitgingen van de BIG (Baseline Informatiebeveiliging Gemeenten). Op zich vreemd, want er was veel overlap en de basis was hetzelfde: ISO 27001 en 27002.
Naar BIO en BBN
De ISO-standaarden gelden als ‘Mother of all Standards’ en vormden het uitgangspunt voor een overheidsbrede beveiliging: BIO. Ook bedrijven en organisaties die aan de overheid leveren moeten kunnen laten zien door middel van een ‘in control verklaring’ dat ze in een bepaalde mate aan de BIO voldoen. Dus: of je valt rechtstreeks onder de BIO of je levert een dienst aan een gemeente of andere overheid, waarbij je een verklaring moet kunnen afgeven. Dat geldt dus ook voor SW-bedrijven. Binnen de setting van wat zij doen, moeten ze aantonen dat ze voldoen aan de standaard. De BIO gaat in eerste instantie uit van Basis Beveiligings Niveau’s of BBN. Er zijn drie niveaus: BBN1 – BBN2 en BBN3. SWbedrijven moeten minimaal aan BBN1 voldoen en in veel gevallen ook aan BBN2 omdat ze werken met, soms gevoelige persoonsgegevens van burgers/kandidaten.
Stand van zaken
Alle gemeenten moeten aan de BIO voldoen en dat is bepaald geen kwestie van één nacht ijs. Ook voor gemeenten is het lastig om in relatief korte tijd te voldoen aan de eisen. Een SW-bedrijf heeft een gemeente als opdrachtgever, maar de mate waarin SW-bedrijven voldoen aan de eisen, verschilt. Dat ligt voor een belangrijk deel bij de mate waarin gemeenten de SW-bedrijven aan de standaard houden, oftewel de externe druk. Veel gemeenten hebben momenteel zelf moeite om te voldoen aan de BIO en dat maakt het lastig om het van een leverancier wél te verlangen. Andersom geldt dat het voldoen aan de eisen van een bepaald BBN in de BIO, of een ISO27001 norm, wel degelijk een kwaliteitskenmerk is waar je als gemeente én leverancier vroeg of laat aan zal moeten voldoen. Daarnaast geldt dat veel bedrijven pas in beweging komen als een dreiging in de vorm van bijvoorbeeld ransomware reëel wordt, maar dat is meestal ook het punt waarop je met het inrichten van beveiliging te laat bent. Anders gezegd: beter nu geregeld om goed voorbereid te zijn op de eisen van je opdrachtgever én om je eigen risico’s op het gebied van cybersecurity goed in beeld te hebben.
Kennissessie
Donderdag 2 november organiseert Arrix een kennissessie over BIO, BBN en de betekenis daarvan voor bedrijven die diensten leveren aan de (gemeentelijke) overheid. Deze sessie vindt plaats in een kleine setting, zodat er volop ruimte is voor dialoog en een persoonlijke benadering. Een prima gelegenheid om je goed voor te bereiden én om een goede inschatting te maken van de eigen stand van zaken rondom cybersecurity. Meer weten? Meld je aan voor deze kennissessie
Aanmelden kennissessie Baseline Informatiebeveiliging Overheid