Totaal onleesbaar vol verwijzingen.

Een richtlijn is geen wet, dus hoeven overheidsinstanties zich hier niet aan te houden. Dat betekent dus dat er voorlopig niets zal veranderen, en de overheid zelf dit vooral als vinkje voor leveranciers gaat gebruiken.

Eindelijk lang verwacht!

De BIO1 moeten aanhouden zo voor de valreep van de BIO2 is niet tof. Gukkig zijn we hier met de voorlopige aan de slag gegaan. Nu de wijzigingen bijwerken.

Het is niet geweldig, maar beter dan niets.

Vooral die Microsoft Word-uitstraling van het document ziet er fraai uit, bijna alsof er veel aandacht naar uit is gegaan.
Om over de totaal onleesbare kleurrijke Excel-handrijking met miniscule lettertjes maar te zwijgen.
Is er dan niemand die rekening wenst te houden met mensen zoals ik die een BIO2 moeten implementeren...?!

De BIO is per 1-1-2019 verplicht voor alle overheidslagen. Ze moet opzet, bestaan en werking van de BIO aantonen.

BIO2 gaat in per 1-1-2026. Het is een richtlijn die straks met de invoering van de cyberbeveiligingswet/ NIS2 wetgeving wordt. ISO 27001/ 27002 = BIO2 = NIS2 voor 90%.

Dit ziet er echt heel amateuristisch uit... Dit kan toch niet serieus genomen worden?

De BIO2 is beschikbaar in Excel staat er (https://www.bio-overheid.nl/media/jqhfdrb3/20250924-was-wordt-lijst-bio_bio2-in-excel_hr-bio2-opmaat_bio-104zv-v10-def.xlsx), inclusief een Was-wordt-lijst BIO en niet in Libreoffice (ods).

Dit is tegen het eigen overheidsbeleid om verplicht ODS standaard te gebruiken: https://www.forumstandaardisatie.nl/open-standaarden/verplicht
Wie opent er een rechtszaak?

In de 1e alinea van de PDF staat:
De Baseline Informatiebeveiliging Overheid 2 (BIO2) is geheel gestructureerd volgens
NEN-EN-ISO/IEC 27001, bijlage A en NEN-EN-ISO/IEC 27002. Forum Standaardisatie
heeft deze normen opgenomen in de ‘pas-toe-of-leg-uit’-lijst met verplichte standaarden
voor de publieke sector, volgens het pas-toe-of-leg-uit principe. Dit betekent dat de
overheid deze normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet
te doen.
Vervolgens publiceert men vollop (wat niet in de pdf staat) in XLSX formaat. Een verboden standaard! volgens haar eerste alinea.

Het gaat echt nooit wat worden met deze overheid. De volgende amateurs waren betrokken bij de totstandkoming.
Vereniging van Nederlandse Gemeenten, Interprovinciaal Overleg en Unie van
Waterschappen), Chief Information Security Officers (CISO’s) van overheidsorganisaties,
de Auditdienst Rijk (ADR), de Rijksinspectie Digitale Infrastructuur (RDI), medewerkers
van ministeries, het Nationaal Cyber Security Centrum (NCSC), het Centrum
Informatiebeveiliging en Privacybescherming (CIP), de informatiebeveiligingsdienst voor
gemeenten (IBD), de leden van de werkgroep BIO, bestuurders en functionarissen van
overheden en alle anderen die hebben bijgedragen.

Dit incompetente zooitje moet ons dus bevrijden van bigtech. Niet dus.

Dit klopt niet, het BIO2-normenkader is voor veel organisaties een verplichtende zelfregulatie. Voor de Rijksoverheid is het echter gekoppeld aan de NIS2, CBW en derhalve het CBB (Cyberbeveiligingsbesluit). De Rijksoverheid is dus _wel_ verplicht zich (minimaal) aan het normenkader te houden en hun interne beleid, standaarden en maatregelen te actualiseren en in lijn te brengen.
Dit is ingegaan per 23 september.

Volgens mij heb je even gemist waar de BIO2 voor is. Het doel in in ieder geval niet om ons te bevrijden van Big Tech. Dat is ook een belangrijk thema, maar iets anders

Het zijn dezelfde organisaties en de zelfde mensen die open standaarden aan hun laars lappen en niet voldoen aan pas toe of leg uit en ons dus locken met bigtech specifieke standaarden.
De enig die ons nog kan bevrijden is denk ik ransomware.

Jij?
Blijkbaar stoor jij je hier aan :)

Volgens mij is het geschreven door mensen die geen flauw benul hebben hoe zoiets in de praktijk werkt of weer zo'n overpriced advies orgaantje. Hebben we alle proceseigenaren eerst moeten leren wat een BIV rating is en wat hun verantwoordelijkheid daarin is, komen ze met een BIO die ineens BBN ratings hanteert. Goed, vertrouwelijkheid is, naast integriteit, voor overheden ook 1 van de belangrijkste criteria dus dat was redelijk snel uit te leggen. Vervolgens komen ze ook nog eens met een tussen variant BBN2+, totaal onuitlegbaar want niemand snapte daar een hol van. Uiteindelijk toch aangeleerd met voorbeelden van data die daar onder zou moeten vallen, komen ze nu met versie 2 waar dit alles wordt los gelaten en worden overheden met een kluitje in het riet gestuurd om het met riskmanagement op te lossen. Grootste deel van de verantwoordelijken hebben totaal geen kennis van riskmanagement. Uiteraard iets wat zeer krom is want ze zijn er wel verantwoordelijk voor, maar die moeten nu ineens hun risico's gaan bepalen op basis van risk management. Zie je het voor je? Al die onderknuppeltjes bij het Rijk en gemeenten die daar nu ineens iets mee moeten gaan doen? En nee, onderknuppels, IT regelt dat niet voor jullie!
Maar ff zonder dollen, zo'n security baseline moet er juist voor zorgen dat het gemakkelijk toepasbaar is zodat iedere overheidsorganisatie er aan kan gaan voldoen. Het is niet bedoeld om het risico landschap nog ff een tandje groter te maken, wat er volgens mij met de BIO2 juist wel gebeurd. Tijd voor een BIO2.1?

Mooi verhaal, maar even een stapje terug.

In het Besluit voorschrift informatiebeveiliging rijksdienst (de VIR) uit 2007 (https://wetten.overheid.nl/BWBR0022141/2007-07-01) stond al dat, in ieder geval voor de Rijksoverheid, het management verplicht was om risicomanagement te hanteren voor informatiebeveiliging. Zie artikel 4.

En de voorganger daarvan, de VIR uit 1994 !! (https://wetten.overheid.nl/BWBR0006836/1995-01-01) noemde misschien het woord “risico” niet maar als je daarvan artikel 4 leest komt dat eigenlijk gewoon op hetzelfde neer.

Als er vandaag de dag, 30 jaar nadat het verplicht werd, nog steeds (Rijks)overheden zijn die niet bezig zijn met risicogedreven informatiebeveiliging, dan moet daar per direct de stekker uit getrokken worden. Dat komt dan namelijk simpelweg niet meer goed. Daar gaat dan geen BIO tegen helpen.

Ik ben het geheel met je eens maar de dagelijkse praktijk is toch geheel anders. Het kan allemaal wel leuk op hoog niveau worden vastgelegd maar in de praktijk werken zaken compleet anders. Veel bestuurders denken namelijk niet in risico's want daar is IT toch voor? Het enige risico wat ze kennen is finance, wat daar worden ze namelijk op afgerekend.
Ik kan je een ander voorbeeld noemen wat ook nog steeds niet goed werkt en dat is privacy bescherming. De WBP kwam ergens in 2001(?) en toen was ook al duidelijk dat bedrijven en overheden zich er aan moesten conformeren. Was overigens niet verplicht maar wel dwingend. In 2018 kwam de AVG als wettelijke plicht. We zitten nu in 2025, ruim 24 jaar na de invoering van de WBP en er zijn nog legio gemeenten, overheden en bedrijven niet compliant aan de AVG.
Dat is in dit land met vele wetten zo, je kan wel een wet de wereld in pleuren maar kunnen overheden, gemeenten, waterschappen etc. ermee werken? Tot nu toe blijkt dat dit niet het geval is dus ipv te verdiepen waarom die wetjes niet werken gaan we er vervolgens nog een zwaardere wet tegenaan pleuren waar al helemaal niemand een reet van begrijpt. En dan gaan we er ook nog eens boetes aanhangen, op termijn.
Het gebrek aan harde kaders blijft een probleem in dit land. Neem nu de AV23 uit de WBP. Daar stond glashelder waar je gegevens verwerking aan moest voldoen en welke maatregelen verplicht waren. Maar doordat een hoop kruideniertjes zagen dat dit geld ging kosten moest de AV23 verdwijnen en kwam de halfslachtige AVG uit.

Hetzelfde zie je nu met de BIV/BBN niveau's. Deze maken het bijzonder duidelijk welke risico classificatie je hebt en welke maatregelen je zou moeten nemen. Maar ook hier weer het geneuzel van onduidelijkheid, het kost geld ed..
Als je iets wil bereiken in dit land moet je harde, handhaafbare, kaders stellen zodat iedereen weet wat er minimaal moet gebeuren. Maar nee, dat gaan we niet doen want we gaan liever nog 10 jaar polderen met z'n allen en ondertussen klagen dat het allemaal niet zo goed gaat met onze privacy en informatiebeveiliging.

Ik vrees dat het wederom weer een papieren exercitie gaat worden, er staat een groen vinkje en dan zijn we klaar. dat groene vinkje betekend echter niet dat het echt geregeld is. Ik kom nog te vaak bedrijven tegen die schermen met hun ISO 27001 certificaat maar als ik dieper ga onderzoeken zijn ze zo lek als een mandje want in de praktijk blijken al die maatregelen niet bepaald effectief te zijn. Dan kun je wel om een VVT vragen maar die staat meestal gewoon op groen want anders hadden ze het certificaat niet gekregen. Een SOC rapportage schept al vaak wat meer duidelijkheid maar er zijn zat bedrijven die dat niet hebben omdat er niemand naar vraagt en als je het wilt hebben moet je er zelf voor betalen. Of ze hebben wat te verbergen natuurlijk. Ook hier ontbreekt weer een harde richtlijn voor overheden hoe ze met leveranciers moeten omgaan. Zelfs het vereisen van een ISO certificaat van leveranciers is geen harde eis want we willen kleine bedrijven niet uitsluiten natuurlijk.
En zo kabbelen we weer door naar straks weer een nieuwe nog strengere wet die ook niets effectief gaat regelen.

Dit is een betere baseline: https://www.open-scap.org/tools/openscap-base/ Zie Security Technical Implementation Guide (STIG) voor overheid en gerelateerde branches.