Laden...
Laden...
De BIO2 is sinds 23 september 2025 het verplichte normenkader voor informatiebeveiliging bij Rijk, provincies en waterschappen. Gemeenten gebruiken BIO2 als richtinggevend kader. Met de verplichte doorwerking van NIS2 via de Cyberbeveiligingswet staan de eisen scherper dan ooit. Wij helpen overheidsorganisaties om BIO2 pragmatisch te implementeren — van nulmeting tot ENSIA-verantwoording.
De BIO is verplicht voor alle 375 overheidsorganisaties in Nederland: 342 gemeenten, 12 provincies, 21 waterschappen en alle rijksorganisaties. Sinds 23 september 2025 geldt de herziene BIO2 (bron: Staatscourant 2020 nr. 7857), gebaseerd op 93 controls uit ISO 27002:2022.
De BIO (Baseline Informatiebeveiliging Overheid) is het verplichte normenkader voor informatiebeveiliging binnen de gehele Nederlandse overheid. Sinds 1 januari 2019 vervangt de BIO de eerdere sectorale baselines — BIR (Rijk), BIG (gemeenten), IBI (provincies) en BIWA (waterschappen) — en biedt één uniform kader voor 4 overheidslagen (bron: Staatscourant 2020, nr. 7857).
Op 23 september 2025 is de opvolger vastgesteld: BIO2. Deze versie is volledig geherstructureerd naar de 93 controls van ISO 27002:2022, aangevuld met overheidsspecifieke maatregelen voor onder meer DigiD-koppelingen, Suwinet en ketensamenwerking (bron: bio-overheid.nl). Het Rijk, provincies en waterschappen passen BIO2 direct toe. Gemeenten werken voorlopig met BIO 1.04zv en gebruiken BIO2 als richtinggevend kader (bron: ).
BIO geldt voor alle Nederlandse overheidsorganisaties, ongeacht omvang:
De bestuurlijke verantwoordelijkheid is niet delegeerbaar. Het college van B&W, Gedeputeerde Staten of het dagelijks bestuur blijft eindverantwoordelijk — ook wanneer de uitvoering bij IT of een CISO ligt.
Voor gemeenten is BIO structureel onderdeel van de ENSIA-verantwoording. Via ENSIA rapporteert het gemeentebestuur jaarlijks over informatiebeveiliging, DigiD-assessments (Norm ICT-beveiligingsassessments DigiD v3.0), Suwinet-gebruik en aanvullende stelsels als BRP en Reisdocumenten — richting gemeenteraad én externe toezichthouders zoals de provincie (bron: VNG ENSIA-project).
Wat we regelmatig tegenkomen: organisaties die denken dat BIO alleen "iets van IT" is. In werkelijkheid gaat het over hoe je als bestuur aantoonbaar grip houdt op informatierisico's. Van inkoop tot HR, van facilitair tot communicatie.
BIO2 is geen cosmetische update. De herstructurering is ingrijpend:
| Aspect | BIO 1.04zv | BIO2 |
|---|---|---|
| Normbasis | ISO 27001:2013 / ISO 27002:2013 | ISO 27001:2023 / ISO 27002:2022 |
| Controlstructuur | 114 maatregelen in 14 categorieën | 93 controls in 4 thema's |
| NIS2-doorwerking | Nee | Ja — verplicht via Cyberbeveiligingswet |
| Overheidsmaatregelen | Aanvullend | Verzwaard op specifieke punten |
| BBN-indeling | 3 basisniveaus | Gehandhaafd met herijkte criteria |
| Vastgesteld | 2019 (herzien 2023) | 23 september 2025 door OBDO |
BIO en ISO 27001 zijn inhoudelijk verwant — BIO2 is gebaseerd op dezelfde ISO-normen — maar ze verschillen juridisch en bestuurlijk.
| Aspect | BIO | ISO 27001 |
|---|---|---|
| Verplicht | ✅ Ja, voor alle overheden | ❌ Nee, vrijwillig |
| Doelgroep | Overheidsorganisaties | Alle organisaties |
| Certificeerbaar | ❌ Nee | ✅ Ja, via geaccrediteerde CI |
| Verantwoording | ENSIA & auditdiensten | Certificerende instantie |
| Normbasis | ISO 27001:2023 + overheidsmaatregelen | ISO 27001:2023 |
De NIS2-richtlijn wordt via de Cyberbeveiligingswet (Cbw) omgezet in Nederlandse wetgeving. Decentrale overheden — gemeenten, provincies en waterschappen — vallen als "essentiële entiteiten" onder de scope (bron: NCTV).
De relatie is helder: BIO2 is hét instrument waarmee overheden voldoen aan NIS2-verplichtingen. De NIS2-eisen zijn verplicht doorgewerkt in BIO2. Concreet:
Wie BIO2 goed implementeert, legt daarmee automatisch de basis voor NIS2-compliance. Maar let op: de Cyberbeveiligingswet kan aanvullende eisen stellen bovenop BIO2. Houd de ontwikkelingen op in de gaten.
De kosten hangen af van omvang, huidige volwassenheid en ketencomplexiteit. Op basis van onze ervaring:
| Onderdeel | Indicatie |
|---|---|
| BIO2 nulmeting (gap-analyse) | € 2.500 – € 6.000 |
| Implementatiebegeleiding | € 5.000 – € 25.000 |
| ENSIA-auditvoorbereiding | € 3.000 – € 8.000 |
| DigiD-assessment begeleiding | € 2.000 – € 5.000 |
| Doorlopende ondersteuning (CISO-as-a-service) | Maatwerk |
Wat wij in 8 van de 10 gevallen zien: organisaties die de nulmeting overslaan en direct gaan implementeren, betalen uiteindelijk meer aan herstelwerk. Een gedegen gap-analyse bespaart tijd én budget. Zo simpel is het.
BIO is geen certificering. Verantwoording loopt via ENSIA-rapportages, interne audits en auditdiensten — niet via een certificerende instelling.
In onze praktijk zien we dat organisaties die BIO benaderen als puur IT-project, vastlopen. BIO raakt governance, processen, leveranciersmanagement en bestuurlijke verantwoordelijkheid. Wie dat begrijpt, is al halverwege.
Door de verplichte doorwerking van de NIS2-richtlijn zijn meerdere overheidsmaatregelen verzwaard. Denk aan strengere eisen voor incidentmelding, supply chain security en bestuurlijke aansprakelijkheid (bron: digitaleoverheid.nl).
"Veel organisaties onderschatten de impact van de herstructurering van 114 naar 93 controls. Het zijn niet simpelweg 'minder maatregelen' — de scope per control is breder en de verantwoordingseisen strenger. Begin op tijd met een gap-analyse, dan voorkom je verrassingen bij de ENSIA-verantwoording."
— Senior consultant informatiebeveiliging, Maas ISO
Op de website van het CIP zijn handreikingen, gap-analysetools en de volledige BIO2-tekst beschikbaar: cip-overheid.nl.
| NIS2-doorwerking |
| Verplicht ingebouwd |
| Ondersteunend, niet verplicht |
Een ISMS opzetten volgens ISO 27001 kan aanvullend zijn op BIO — bijvoorbeeld wanneer je als overheidsorganisatie ook richting marktpartijen wilt aantonen dat informatiebeveiliging op orde is. Maar ISO 27001 vervangt BIO niet. Ons advies: gebruik BIO als verplichte basis en bouw daar waar nodig ISO 27001-certificering bovenop.