Wat de BIO van je verwacht en hoe je daaraan voldoet

Vanaf 2020 moeten alle overheidsorganisaties eraan voldoen: de BIO. Oftewel, de Baseline Informatiebeveiliging Overheid. Een normenkader voor alle overheidsorganisaties die moet leiden tot betere samenwerking en meer eenduidigheid. Maar hoe voldoe je eraan?

Waarom de BIO?

Eerst even terug; waarom is die BIO er eigenlijk gekomen? Tot voor kort hadden we verschillende baselines, afhankelijk van de overheidsorganisatie. Zo had je onder andere de BIR voor de Rijksoverheid en de BIG voor Gemeenten. De BIO is nu in de plaats van deze baselines gekomen (in onze blog over normen en wetten lees je hier meer over).

De BIO is zo generiek opgesteld dat alle overheidsinstanties ermee kunnen werken. Het voordeel hiervan is dat er in ‘één taal’ gecommuniceerd wordt en er een betere en efficiëntere samenwerking tussen de partijen mogelijk wordt. Alle partijen moeten namelijk voldoen aan dezelfde normen. Dit zorgt ook voor minder administratieve lasten en kostenbesparing.

Mooi nieuws, zou je dus denken. Dat is ook wel zo, maar er moeten nog wel grote stappen gemaakt worden vóór 2020. Men begint inmiddels dus de stress te voelen. Vooral omdat de BIO wel maatregelen aangeeft, maar de precieze invulling daarvan onduidelijk blijft. Zo staat er bijvoorbeeld in de BIO dat je mobiele apparatuur goed moet beveiligen en risico’s moet verkleinen. Maar hoe je dat precies doet? Daar geeft de BIO geen antwoord op.

Het misverstand over de BIO

Veel overheidsinstanties zijn nu druk bezig om per 2020 alles op orde te hebben. Dat houdt in dat ze proberen de verschillende maatregelen door te voeren waaraan zij moeten voldoen. Maar daar zit precies een groot misverstand. De maatregelen zijn niet de essentie van de BIO. Ze moeten volgen uit het doorlopen van de plan-do-check-act cyclus van het managementsysteem.

Het managementsysteem heeft als doel dat je in control bent en een cyclus hebt voor het doorvoeren van verbeteringen. Als jouw managementsysteem goed is ingeregeld, volgen die maatregelen vanzelf uit de periodieke beoordelingen. Doe je het andersom? Dan loop je over een tijdje vast, want dan zijn je maatregelen niet meer up to date en kan je dus opnieuw beginnen.

Hoe ga je voldoen aan de BIO?

Een managementsysteem is dus het eerste belangrijke onderdeel. Maar hoe zet je dan de eerste stappen naar het voldoen aan de BIO? Zoals de BIO zelf ook aanraadt, kan je het beste starten met een gap analyse. Wat heb je in huis? Wat doe je? Hoe goed doe je dit? En sluit dit allemaal aan op de BIO?

Vergis je niet, deze gap analyse is een grote klus. Los van de omvang van de verschillende organisaties, is het veel werk om de vergelijking te maken tussen de oude norm en de nieuwe BIO. Die normen lijken allemaal wel veel op elkaar, maar ze zijn niet hetzelfde.

Als volgende stap kan je een baseline-toets doen. Dit is een soort risicoanalyse waaruit een zogenaamd basisbeveiligingsniveau komt. De BIO maakt onderscheid tussen drie niveaus, die vervolgens bepalen welke maatregelen je moet nemen. Afhankelijk dus van het basisbeveiligingsniveau, kan je de voorgeschreven maatregelen gaan toepassen. Dit vereist echter wel eigen invulling, want de BIO is geen kookboek: het geeft je de ingrediënten (de wat), maar je moet zelf een recept verzinnen (de hoe).

Dankzij de gap analyse en de baseline-toets weet je nu waar je aan moet werken om te voldoen aan de BIO. Nu is het aan jou om het recept te verzinnen en dus de maatregelen goed in te voeren.

Kom je er nog niet uit?

Enkele experts van Strict werken mee aan een boek over de BIO. Dit boek biedt – aan de hand van best practices – handvatten om de implementatie van de BIO slim, pragmatisch en soepel te laten verlopen. Naar verwachting komt het boek begin 2020 uit. Wil je op de hoogte worden gebracht van de release? Laat dan via het formulier hieronder je gegevens achter en je krijgt als eerste bericht over de releasedatum!