BIO2 vastgesteld: Wat betekent dit voor uw organisatie?

by | Sep 28, 2025 | Article

Bio2 vastgesteld Wat betekent dit voor uw overheidsorganisatie

Op 23 september 2025 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) de vernieuwde Baseline Informatiebeveiliging Overheid 2 (BIO2) vastgesteld. Daarmee is een belangrijke stap gezet richting een toekomstbestendige en juridisch verankerde aanpak van informatiebeveiliging binnen de overheid. Veel organisaties zijn inmiddels gestart met de implementatie. Maar wat betekent dit concreet voor uw organisatie?

Wat is de BIO2?

De BIO2 is de opvolger van de BIO 1.04zv en vormt de nieuwe basisnorm voor informatiebeveiliging binnen de Nederlandse overheid. Waar de vorige versie nog werkte met drie basisbeveiligingsniveaus (BBN’s), verschuift de BIO2 de focus naar risicomanagement. De norm is afgestemd op de internationale standaard NEN-EN-ISO/IEC 27002:2022 en sluit aan op de Europese NIS2-richtlijn, specifiek artikel 21 over cyberbeveiligingsmaatregelen.

Belangrijkste wijzigingen

De BIO2 brengt een aantal fundamentele veranderingen met zich mee:

  • Nieuwe structuur conform ISO/IEC 27002:2022.
  • Loslaten van BBN’s, meer ruimte voor maatwerk op basis van risico’s.
  • Algemene beschrijving van verantwoordelijkheden, niet langer per maatregel.
  • Juridische verankering via de Cyberbeveiligingswet (Cbw).
  • Verwijdering van Deel 3 Addendum BIO, geen specifieke eisen per bestuurslaag meer.

Verplicht of richtinggevend?

Vanaf de vaststelling door het OBDO geldt de BIO2 voor provincies, waterschappen en het Rijk als verplichtende zelfregulering. Gemeenten blijven voorlopig BIO 1.04zv hanteren, maar gebruiken BIO2 al als richtinggevend kader. Zodra de Cbw in werking treedt, wordt de BIO2 wettelijk verplicht voor alle overheidsorganisaties die onder deze wet vallen.

Voor organisaties buiten de scope van de Cbw – zoals Defensie en AIVD – blijft de BIO2 gelden als verplichtende zelfregulering via besluiten van de ministerraad.

Wat vraagt de BIO2 van uw organisatie?

De BIO2 stelt drie kernverplichtingen:

  1. Implementatie van een ISMS volgens NEN-EN-ISO/IEC 27001.
  2. Toepassing van ISO/IEC 27002 en verplichte BIO2-maatregelen.
  3. Aantoonbaarheid van opzet, bestaan en werking van beheersmaatregelen.

Hoe start u met implementatie?

Een goede start begint met inzicht. Wij adviseren:

  • Uitvoeren van een gap-analyse met behulp van de BIO-SA (Self Assessment).
  • In kaart brengen van uitvoeringskosten en benodigde capaciteit.
  • Starten met risicomanagement op basis van de BIO2.

Ondersteuning nodig?

Bij Securesult helpen we overheidsorganisaties grip te krijgen op hun informatiebeveiliging. Met onze risicogerichte en pragmatische aanpak ondersteunen we bij:

  • BIO2 assessments en roadmapontwikkeling
  • ISMS inrichting en certificeringsvoorbereiding
  • Strategisch risicomanagement en governance
  • CISO-coaching en bewustwordingsprogramma’s

Wilt u weten wat de BIO2 voor uw organisatie betekent en hoe u zich hierop kunt voorbereiden? Neem contact met ons op. Samen zorgen we voor een effectieve en efficiënte implementatie die past bij uw organisatie.