Informatiebeveiliging is cruciaal voor iedere organisatie. Voor overheidsinstanties geldt dit zo mogelijk nog sterker. Zij beheren grote hoeveelheden gevoelige persoonsgegevens waar ze als een ‘goed huisvader’ mee om moeten gaan. Vanaf 1 januari 2020 hebben alle overheidslagen bij de beveiliging van informatie te maken met de Baseline Informatiebeveiliging Overheid (BIO). Vier vragen, én antwoorden, over de BIO.
Wat is de BIO?
Om de informatiebeveiliging op orde te hebben, moeten instanties voor zichzelf beleid vastleggen en (voor de uitvoering) regels en procedures vaststellen. Bovendien moeten ze naar buiten toe kunnen bewijzen dat ze zich ook daadwerkelijk aan die regels houden. Gelukkig hoeven ze daarvoor niet iedere keer het wiel opnieuw uit te vinden.
Voor informatiebeveiliging bestaan internationaal geaccepteerde normen. Denk aan NEN/ISO 27001 en NEN/ISO 27002. Deze normen zijn overal hetzelfde en kunnen relatief eenvoudig worden getoetst door onafhankelijke auditors. Om te voldoen aan deze normen kunnen organisaties de beveiliging baseren op een ‘baseline’. Dit is een set aan maatregelen die samen voor een basisbeveiliging zorgen. De BIO is een nieuwe baseline die overheden vanaf 1 januari 2020 in gebruik moeten nemen.
Waarom een nieuwe baseline?
Op papier lijkt alles koek en ei. De overheden houden zich immers nu al aan bestaande normen voor informatiebeveiliging. Ze kunnen het ook hard maken met audits. Maar het probleem is dat op dit moment iedere soort overheid nét een andere mix van normen gebruikt met verschillende maatregelen, en dus een eigen baseline heeft. Gemeenten hanteren bijvoorbeeld de Tactische Baseline Informatiebeveiliging Gemeenten (BIG), terwijl het rijk uitgaat van de Baseline Informatiebeveiliging Rijksdienst (BIR). Waterschappen en provincies hebben ook hun eigen baselines.
Om het nog complexer te maken: deze baselines verschillen op cruciale details van elkaar, maar ze zijn onderling wel van elkaar afhankelijk. Als de gemeenten de BIG zou willen aanpassen, moest het rijk eerst de BIR veranderen. Dat is geen wenselijke situatie nu de overheid digitaliseert en steeds meer gevoelige gegevens verwerkt. Met de BIO hebben alle overheidslagen de beschikking over een moderne en gezamenlijke baseline voor informatiebeveiliging.
Wat verandert er met de BIO?
De overheid heeft de samenstelling van de baseline grondig geüpdatet. Waar de BIG bijvoorbeeld een grote nadruk legt op specifieke maatregelen die gemeenten in bepaalde gevallen moeten of kunnen nemen, gaat de BIO vooral over risicomanagement. De BIO bevat daarom veel minder concrete maatregelen, maar ze zijn wel allemaal verplicht. De maatregelen worden daarnaast vooraf toegewezen aan een eindverantwoordelijke, en er komen drie basisbeveiligingsniveaus (BBN’s) met elk een eigen regime. Hoe hoger het BBN, hoe strenger het toezicht en de te nemen maatregelen.
Hoe kunnen overheden zich voorbereiden?
Als het goed is, zijn ze daar al mee begonnen. 2019 is een overgangsjaar waarin overheden zich aanpassen aan de nieuwe baseline. Dat begint met het beantwoorden van de twee meest prangende vragen:
Wie is verantwoordelijk voor welk informatiesysteem?
Hoe is het risicomanagement binnen de organisatie ingericht?
Deze twee vragen zijn zo belangrijk, omdat het om twee fundamentele verschuivingen gaat die de BIO veroorzaakt ten opzichte van de bestaande baselines.
Bekijk de Baseline Informatiebeveiliging Overheid op de website van De Vereniging van Nederlandse Gemeente (VNG). En doe gelijk de baselinetoets waarmee overheidsinstanties de BBN’s kunnen bepalen.
