In het staartje van 2025 publiceerde de Informatiebeveiligingsdienst (IBD) en nieuwe handreiking, als onderdeel van haar BIO2 ondersteuningsprogramma (voor gemeenten). Omdat het nu eenmaal (erg) veel is, en middelen doorgaans beperkt zijn, zoeken overheidsorganisaties naar een realistische (haalbare) aanpak. In deze blog bespreek ik de betreffende IBD handreiking.

De handreiking op hoofdlijn

In drie (strategische) stappen voldoen aan Cbw en BIO2

De IBD handreiking, voluit de Handreiking BIO2 Realistische Implementatie Aanpak (BRIA), is strategisch van aard en ondersteunt gemeenten bij het professionaliseren van hun informatiebeveiliging. Maar ook andere overheidsorganisaties kunnen hun voordeel er mee doen. Het gaat uit van een groeimodel in drie stappen om zo stapsgewijs te voldoen aan de Cyberbeveiligingswet en de BIO2.

  • Basis op orde – benut wat er al is, maak maximaal gebruik van wat de IBD bedacht heeft, start met de context- en scope bepaling, het strategisch beleid opstellen en vaststellen en een eerste ISMS-opzet schrijven. Verder heb of implementeer je hier de basis beveiligingsprocessen en -maatregelen.
  • Uitbreiden en verdiepen – neem meer beveiligingsprocessen en leveranciers mee, zet een risicoregister en leveranciersmanagement op en ga aan de slag met OT-beveiliging.
  • Weerbaar door volwassen ISMS – integreer IT en OT, draai doorlopend een volledige PDCA verbetercyclus waarbinnen bestuur en management structureel betrokken zijn en externe toetsing mogelijk is.
"Het gaat uit van een groeimodel in drie stappen om zo stapsgewijs te voldoen aan de Cyberbeveiligingswet en de BIO2. "

Kernboodschap BIO2 implementatie

In de handreiking verwoordt de IBD kernachtig waar het richting de organisatie om moet gaat; wat daar de kernboodschap is.

"Gemeenten beginnen dus niet blanco, maar de nieuwe wet- en regelgeving vraagt om een volgende slag. Het in de basis op orde krijgen van een aantal belangrijke maatregelen die direct bijdragen aan de weerbaarheid van een gemeente is een essentiële eerste stap. Als deze stap gezet is kan gestart worden met een ISMS. Een ISMS biedt de structuur voor een risicogebaseerd werken om risico’s systematisch te beheersen en de organisatie steeds weerbaarder te maken. Het groeimodel laat zien hoe gemeenten, passend bij hun eigen schaal, capaciteit en volwassenheid, in drie stappen kunnen doorgroeien naar een proactieve weerbare gemeente. Op die manier komen zij in de basis aantoonbaar in control en werken zij tegelijk toe naar volledige compliance in de toekomst – zonder dubbel werk en zonder dat de organisatie wordt overvraagd."

Lees ook mijn eerdere blog over het ISMS en het drieluik risicomanagement (zoek linksboven op 'risicomanagement').

Groeimodel: stap 1

Basis op orde - het bouwen van een bruggehoofd

De belangrijkste onderdelen van deze eerste stap zijn:

  • Beleid en kader: De organisatie stelt een strategisch informatiebeveiligings- en privacybeleid (IB&P) vast of updatet het bestaande beleid. Ook worden de beveiligingsdoelen bepaald.
  • Context en scope: Er wordt een contextanalyse uitgevoerd en de scope van het Information Security Management System (ISMS) wordt bepaald. Het advies hierbij is om klein te beginnen, bijvoorbeeld met slechts één of twee kritieke processen, om de organisatie niet te overvragen.
  • Risico-inventarisatie: De kritieke processen en de belangrijkste risico’s worden in kaart gebracht. Hierbij wordt een eerste risicoregister en risicobehandelplan opgezet.
  • VDW-module 1: De organisatie richt de basisprocessen en maatregelen van de VDW-module 1 in. Dit zijn "no-regret" maatregelen die altijd nodig zijn voor een minimale digitale weerbaarheid.
  • Bestuurlijk commitment: Het is essentieel dat het bestuur en management expliciete steun geven door middelen en mensen beschikbaar te stellen, prioriteiten te stellen en zelf het goede voorbeeld te geven.

In deze eerste fase is compliance belangrijker dan risicomanagement. Deze stap is erop gericht om niet blanco te beginnen, maar vooral te benutten wat er al is, zoals bestaand bewijsmateriaal uit ENSIA-, DigiD- en Wpg-audits en de formats en de generieke risicoanalyses van de IBD. Aan het eind van stap 1 is de PDCA-cyclus (Plan-Do-Check-Act) ingericht voor de (zeer beperkte,) gekozen scope. En wordt de eerste cyclus doorlopen, terwijl er tegelijkertijd gestart is met het verhogen van het IB&P-bewustzijn binnen de organisatie.

Groeimodel: stap 2

Uitbreiden en verdiepen - vanuit het bruggehoofd

De belangrijkste onderdelen van deze tweede stap zijn:

  • Vergroten van de reikwijdte: De scope (of: reikwijdte) van het ISMS wordt uitgebreid door meer kritieke processen toe te voegen. Waar in stap 1 nog klein werd begonnen, worden nu de bijbehorende risico’s voor een groter deel van de organisatie in kaart gebracht. De scope van het ISMS omvat tenminste de bedrijfskritieke processen.
  • Leveranciersmanagement: Er wordt een proces ingericht voor Third-Party Risk Management (TPRM), ofwel risicomanagement voor leveranciers. Dit houdt in dat leveranciers in kaart worden gebracht en dat de risico's die zij met zich meebrengen structureel worden beheerd.
  • Operationele Technologie (OT): De organisatie zet de eerste stappen in het beveiligen van fysieke systemen, zoals verkeerslichten, rioolgemalen en camerasystemen. Dit begint met een inventarisatie en het toepassen van basisbeveiligingsmaatregelen (waaronder VDW-module 5).
  • Bestuurlijke inbedding: Informatiebeveiliging wordt een vast onderdeel van de (financiële) planning- en controlcyclus. Ook wel de P&C-cyclus. Er worden managementrapportages ontwikkeld om het bestuur structureel te informeren over de voortgang en de informatiebeveiligingsrisico's.
  • Controle en verbetering: De jaarlijkse PDCA-cyclus wordt volledig doorlopen. Daarnaast start de organisatie met het uitvoeren van interne audits en zelfevaluaties om de effectiviteit van de maatregelen te toetsen.

In deze fase beschikt de organisatie, bovenop alles uit stap 1, over een uitgebreid risicoregister, een ingericht proces voor leveranciersmanagement, een eerste OT-inventarisatie en een koppeling met de BIO2-maatregelen voor zaken als logging en monitoring. Kortom, in stap 2 groeit de organisatie door naar een actief beheersysteem waarbij informatiebeveiligingsrisico's in de volle breedte van de organisatie – inclusief externe partners en fysieke installaties – worden gemanaged.

"Kortom, in stap 2 groeit de organisatie door naar een actief beheersysteem waarbij informatiebeveiligingsrisico's in de volle breedte van de organisatie – inclusief externe partners en fysieke installaties – worden gemanaged."

Groeimodel: stap 3

Volwassen ISMS - volledige integratie en borging

De belangrijkste onderdelen van deze derde en laatste stap zijn:

  • Integratie van IT en OT: Informatievoorziening (IT) en fysieke systemen (OT, zoals bruggen en rioolgemalen) zijn niet langer gescheiden, maar volledig samengebracht in het integrale risicomanagement.
  • Koppeling met continuïteit: Het ISMS is direct verbonden met bedrijfscontinuïteitsbeheer (BCM) en crisismanagement, zodat de organisatie voorbereid is op grootschalige incidenten.
  • Geborgde verbetercyclus: De PDCA-cyclus draait volledig en continu. Dit wordt ondersteund door een meerjarenprogramma voor interne audits en managementreviews (ook wel: directiebeoordeling). Als de organisatie niet over de juiste interne expertise beschikt, mogen deze audits door een externe partij worden uitgevoerd.
  • Structurele rapportage: Het bestuur en management zijn structureel betrokken en ontvangen periodieke rapportages over de status van de beveiliging en de risico's. Ook de verantwoording richting externe toezichthouders is in deze fase volledig ingericht.
  • Geavanceerde bewaking: In deze fase kan aansluiting worden gezocht bij professionele bewakingsvoorzieningen zoals een Security Information and Event Management (SIEM) of een Security Operations Center (SOC).

In deze fase beschikt de organisatie, bovenop alles uit stap 1 en 2, over een organisatiebreed gedragen ISMS waarmee ze aantoonbaar in control is (zoals vereist vanuit Cbw art. 21 en BIO2) en verbeterpunten systematisch opvolgt. Het bestuur en management stuurt daadwerkelijk (doorlopende) op de informatiebeveiligingsrisico's en effectieve maatregelen. Continue verbeteren is het credo.

Aan de slag (blijven) met BIO2

De handreiking biedt met haar realiteitszin hopelijk ook wat rust

De besproken IBD handreiking biedt een realistische en behapbare route om te voldoen aan nieuwe wetgeving, zonder dat je organisatie wordt overvraagd. De redenen er mee aan de slag te gaan zijn:

  • Geen dubbel werk: Het model bouwt voort op wat je al hebt gedaan voor de BIG, BIO en ENSIA-audits. Je hergebruikt bestaand bewijsmateriaal, wat veel tijd bespaart.
  • Wettelijke zekerheid: Het helpt je stap voor stap te voldoen aan de zorgplicht uit de Cyberbeveiligingswet (Cbw) en de BIO2. Hierdoor ben je aantoonbaar "in control" richting toezichthouders.
  • Behapbare groei: Door klein te beginnen met slechts één of twee kritieke processen, voorkom je dat informatiebeveiliging een onoverzichtelijk megaproject wordt. Je groeit mee met de capaciteit van je eigen organisatie.
  • Focus op weerbaarheid: Het model richt zich niet alleen op IT, maar ook op OT, zoals de besturing van rioolgemalen en verkeerslichten, waardoor de continuïteit van de hele organisatie wordt gewaarborgd.
  • Praktische ondersteuning: Je kunt direct gebruikmaken van kant-en-klare formats, templates en risicoanalyses van de IBD, waardoor je het wiel niet opnieuw hoeft uit te vinden.

Je kunt dit driestapsplan vergelijken met het trainen voor een marathon: je begint niet op dag één met 42 kilometer rennen (dat leidt tot blessures en uitval), maar je begint met een basisconditie (stap 1), bouwt je uithoudingsvermogen en techniek uit (stap 2), om uiteindelijk topfit en gecontroleerd de eindstreep te halen en te behouden (stap 3).

Tot slot nog een ongevraagd woord van dank aan de Informatiebeveiligingsdienst voor het vrij beschikbaar stellen van al haar producten: handreikingen, templates, methodes, voorbeelden etc.

ps. lees ook nog eens deze eerdere blog uit mei 2021 "Met de BIO bezig blijven: hoe lang?"

Deze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp normenkaders bij elkaar.

Ga naar de Normenkaders content collectie