BIO2 in de praktijk - BIO2 hulp bij implementatie en het ondersteuningsaanbod - aflevering 4

Show Notes

Annemieke de Wit (Senior Adviseur Informatiebeveiliging bij CIP) vertelt je meer over de campagne rondom de implementatiebegeleiding. Ze legt uit waar je alle informatie over de BIO2 kunt vinden. Ze blikt terug en bespreekt een aantal punten uit aflevering 1 t/m 3. Ze kijkt vooruit naar de toekomst van de BIO2, wat zijn de plannen?  

Transcript

Annemieke de Wit: Het is iedereen zijn verantwoordelijkheid. Iedereen heeft er een rol in, van hoog tot laag.

Interviewer: Dit is BIO2 in de praktijk. In deze miniserie duiken we in de gevolgen van deze vernieuwde Baseline Informatiebeveiliging Overheid 2. Wat zijn de gevolgen voor betrokkenen en professionals?

Annemieke de Wit: Het maakt niet uit wat je functie is. We krijgen allemaal te maken met informatiebeveiliging. De één wat meer dan de ander. Elke medewerker heeft met beveiliging te maken. Bijvoorbeeld het kiezen van je wachtwoorden.

Interviewer: In deze aflevering kijken we vooruit. Wat moeten overheidsorganisaties nu en de komende tijd doen om hun informatiebeveiliging goed te regelen? Ik bespreek dat met Annemieke de Wit. Zij is senior adviseur informatiebeveiliging en privacybescherming bij het CIP. In de afgelopen afleveringen hebben we een aantal hoofdrolspelers gesproken bij de totstandkoming van de BIO2. Ik heb wat uitspraken meegenomen. Laten we kijken wat ze hebben gezegd. Aan de hand daarvan kijken we wat er op de professionals afkomt. De eerste quote komt van Erik Becker. Hij is medeverantwoordelijk voor het informatiebeveiligingsbeleid van de overheid. Luister even mee.

Erik Becker: De vorige BIO werkten we met een drietal basisbeveiligingsniveaus. Op basis van een risicoafweging kwam je tot een bepaald basis beveiligingsniveau. Daar zaten dan maatregelen in die je zou moeten treffen in de huidige BIO. Die niveaus laten we wat los. Op basis van een risicoafweging moet je zelf gaan nadenken welke maatregelen er nodig zijn om die risico's in voldoende mate te beheersen.

Interviewer: Annemieke, betekent dat minder focus op compliance en meer op zelf nadenken? Begrijp ik dat goed?

Annemieke de Wit: Helemaal goed. Zie het als focus op gezond verstand en veel minder op de regels. Dat is van belang. Principle based in plaats van rule based. Dat hadden we nog vaak. Het wordt niet meer doen wat er staat, maar nadenken wat er voor jouw organisatie nodig is. Dan is de vraag hoe je bepaalt wat nodig is. Daarvoor heb je risicomanagement. Op basis van risicomanagement kom je tot een selectie van maatregelen. De overheidsmaatregelen die nu in de BIO staan, zijn een verplichting. Dat zijn maatregelen die je altijd treft, ongeacht je risicoacceptatie. Het is een verplichting en een minimale eis. De kans dat je een overheidsmaatregel moet implementeren, waarbij je vaststelt dat die onder de risicobereidheid ligt, zal niet vaak voorkomen.

Annemieke de Wit: De risicobereidheid van de overheid ligt laag. De overheid moet zorgvuldig werken en betrouwbaar zijn. Het moet de continuïteit van zijn vitale processen garanderen. De overheid is geen commerciële partij en kan die risico's niet nemen.

Interviewer: Heb ik goed begrepen dat je geen checklist krijgt? Wanneer je dit doet en dat doet, dan voldoe je. Er wordt een beroep gedaan op de deskundigheid en professionaliteit van alle betrokkenen. Zorg dat je alles op orde hebt. Bekijk het goed. Inventariseer al je risico's en regel het dan. Waarom was dat nodig?

Annemieke de Wit: Je wil niet overbeveiligen en onderbeveiligen. Wanneer je alleen maar een selectie doet uit die maatregelen, loop je de kans dat je onderbeveiligd. Je wil zo beveiligen dat je niet onder- of overbeveiligt. Beiden hebben hun nadelen. Als je overbeveiligt, dan kan het star worden. Het kan frustratie opleveren. Of erger. Het kan een negatief effect hebben op de dienstverlening bij burgers of bij bedrijven. Dat wil je zeker niet. Bij onderbeveiligen loopt je risico's zoals hacken en ransomware. Je kan allerlei dingen verzinnen.

Interviewer: Daar hebben we de afgelopen jaren voorbeelden van gezien. Dat willen we dus niet meer hebben.

Annemieke de Wit: Precies. We hebben nu heel recent het Louvre als voorbeeld, waarbij het wachtwoord Louvre is gebruikt. De criminelen hebben er heel handig gebruik van gemaakt. Een aantal basis beveiligingsmaatregelen zijn niet getroffen.

Interviewer: Het is bijna net zo handig als welkom 2025?

Annemieke de Wit: Precies.

Interviewer: Met die inventarisatie en risicomanagement komt er dus nu een hoop op overheidsorganisaties af. Krijgen ze daar nog een beetje hulp bij?

Annemieke de Wit: Jazeker. We hebben de BIO recentelijk gelanceerd. Voor de BIO2 is er een campagne gestart. De maand september stond vooral in het teken van de publicatie van de BIO2. December staat helemaal in het teken van risicomanagement. Het CIP gaat daarbij ondersteunen. CIP kent nu al de IB&P themasessies. Eéntje zal helemaal in het teken staan van risicomanagement. Je kunt je aanmelden op die IB&P-sessies. Dat is 18 december aanstaande. Zoals je gewend bent van CIP zal er een spreker zijn. In dit geval één. Die gaat je kort meenemen in het onderwerp. Daarna is er veel ruimte om de discussie te starten en vragen te stellen. Dus dat is in ieder geval wat CIP doet. Er wordt nog een aanvullende sessie georganiseerd.

Annemieke de Wit: We houden nog even geheim wat er precies aan bod komt. Als je de nieuwsbrief leest en de BIO-website volgt, ga je precies zien waar dat thema op gericht is.

Interviewer: In een andere aflevering sprak ik één van de geestelijk vaders van de BIO 2, Kees Hintzbergen. Hij is adviseur bij de informatiebeveiligingsdienst bij de VNG en inhoudelijk adviseur bij het CIP. Dit is wat hij zegt over de totstandkoming van de BIO2.

Kees Hintzbergen: Wij zijn in zekere zin de aangever. De werkgroep BIO heeft zijn eerste sausje gedaan. Uiteindelijk vonden we het zo belangrijk dat er meer mensen input konden geven. Vandaar dat we gekozen hebben voor het middel GitHub. Hoe meer mensen ernaar kijken, hoe beter het wordt.

Interviewer: Het is een soort open source project, of niet?

Annemieke de Wit: Zo kan je het zeker zien. GitHub is een versiebeheertool voor het ontwikkelen van software. Wij hebben het gebruikt voor de consultatie van de BIO2. Dus de BIO2 staat er in. Het concept is daar destijds in gezet. Zo kon iedereen die wilde daadwerkelijk een bijdrage leveren aan de nieuwe BIO2. We blijven dit middel nog steeds gebruiken. We zijn nu GitHub verder aan het optimaliseren. Het blijft een tool voor softwareontwikkeling. We gaan alle ballast voor die gebruiker weghalen, zodat die gebruiker zo gemakkelijk mogelijk nieuwe voorstellen kan indienen.

Interviewer: Aan welke voorstellen van mensen die zich er mee willen bemoeien of goede ideeën hebben, moet ik denken?

Annemieke de Wit: Dat kan van alles zijn. Dat kunnen inconsistenties, hele nieuwe voorstellen of vormfouten zijn. Het kan op deel één betrekking hebben van de BIO. Dat is het kader van de bio. Het kan op de overheidsmaatregelen betrekking hebben. Dat is deel twee van de BIO. Het mogen vragen zijn. Het kan van alles zijn.

Interviewer: Iedereen kan hieraan meedoen. De BIO2 is nooit af?

Annemieke de Wit: Nee. De BIO is zeker nooit af. De wereld om ons heen verandert. De dreigingen veranderen. De BIO blijft ook veranderen.

Interviewer: We hebben nog een andere geestelijk vader van de BIO2 gesproken, Kees van der Maarel. De twee Kees'en dus. Die andere Kees was de maatregelen Kees. Dit is de proces Kees. Hij benadrukt de rol van de bestuurders. Hij is streng. Luister even mee.

Kees van der Maarel: Die bestuurder moet eindelijk aan de slag. Misschien is dat uiteindelijk de grootste verandering die we brengen met de BIO 2. De bestuurder moet begrijpen dat hij de basis vormt voor goede informatiebeveiliging.

Annemieke de Wit: Ben ik het helemaal mee eens. De bestuurder vormt zeker de basis voor informatiebeveiliging. Informatie beveiligingsrisico's zijn uiteindelijk ook strategische risico's. Dat maakt dat die bestuurder verantwoordelijk is voor informatiebeveiliging. Hij is uiteindelijk verantwoordelijk voor het weerbaar maken van zijn organisatie. Die taak kan hij niet delegeren. Hij kan wel zorgen dat die beveiligingsorganisatie wordt ingericht. Er zijn mensen die hem helpen om informatie te laten werken binnen zijn organisatie. De bestuurder hoeft het zeker niet allemaal zelf uit te vinden. Er is best veel ondersteuningsmateriaal. De Cyber Security Raad heeft een aantal maanden geleden een handreiking gepubliceerd, specifiek voor die bestuurders en op de NIS2.

Annemieke de Wit: Daarin ligt zijn verantwoordelijkheid wettelijk vast. Dat is wat de Cyber Security Raad aanbiedt. Op de BIO-website kan je een handreiking vinden. Dat is de handreiking "De bestuur aan zet." Deze handreiking helpt de bestuurder om te sturen op informatiebeveiliging.

Interviewer: Wat zijn de tips die daarin staan? Waar gaat dat over? Gaat het over KPI's?

Annemieke de Wit: Jazeker. Dat gaat met name over de KPI's. Op basis van die KPI's kunnen zij sturen.

Interviewer: Je noemde net NIS2. Dat is de Europese wetgeving. Hoe verhoudt nu BIO2 zich tot NIS2?

Annemieke de Wit: Wat jij zegt. De NIS2 is een Europese richtlijn. De BIO is een Nederlands normenkader. Daar zit al een verschil in. Er zit een verschil in organisatorische reikwijdte. De BIO is voor de vier koepels van de overheid: de Rijksoverheid, de Waterschappen, de provincies en de gemeenten. De NIS2 gaat over essentiële en belangrijke aanbieders. Dat is veel breder dan de BIO. Dan nog een tweetal verschillen. Dat is de soort eisen. De NIS2 gaat over strategische en governance gerichte eisen. De BIO is een tactisch normenkader. Daar zit ook een verschil in. Het laatste verschil is de koppeling. Je gebruikt de BIO samen met de ISO 27.001 en die 27.002, als een stukje invulling van die NIS2. Dan gaat het met name over de zorgplicht uit de NIS2.

Interviewer: Kees is best streng voor die bestuurder. Het gaat niet alleen over die bestuurder. Hij zegt dat de bestuurder nu verantwoordelijkheid moet nemen. Hij zegt dat de mensen op de vloer, de managers die daadwerkelijk met concrete projecten aan de gang gaan, beter moeten gaan nadenken, willen wij dit project starten en AI gebruiken. Zij zullen moeten nadenken wat het betekent voor de privacy en de informatiebeveiliging. Het is uitnodiging om iedereen in zijn kracht te zetten, om iedereen weer te laten doen waar hij of zij voor bedoeld is. Zeg ik dat goed zo?

Annemieke de Wit: Zeker. Het is een integraal onderwerp. Het maakt niet uit wat je functie is, we krijgen allemaal te maken met informatiebeveiliging. De één wat meer dan de ander. Ben jij software ontwikkelaar, dan zal je toch iets meer aan security moeten doen. Elke medewerker heeft met beveiliging te maken. Denk aan het kiezen van je wachtwoorden, wat we net al noemden.

Interviewer: Voorkomen we dan dat de CISO naar de bestuurder kijkt? De bestuurder kijkt naar de manager. Iedereen denkt dat het iemand anders zijn verantwoordelijkheid is in de dagelijkse praktijk. Daar moeten we van af.

Annemieke de Wit: Daar moeten we vanaf. Het is iedereen zijn verantwoordelijkheid. Iedereen heeft er een rol in. Van hoog tot laag.

Interviewer: Laten we even teruggaan naar Kees van der Maarel. Hij heeft nog meer leuke dingen gezegd.

Kees van der Maarel: De BIO2 is niets minder en meer dan een gezamenlijke taal, een tactisch normenkader. Het gaat geen feitelijke veiligheid verbeteren. Dan moet je echt implementeren.

Interviewer: Dit is wat Kees zegt. Het gaat minder om compliance. Afvinken waarmee je schijnveiligheid creëert. Je moet aan de gang en je verantwoordelijkheid nemen. Wat zijn dan die stappen die alle betrokkenen vanaf nu kunnen nemen? Er komt nogal wat af op iedereen.

Annemieke de Wit: Ja. Ik ga er vanuit dat je nu al een CISO hebt. Of in ieder geval een andere functionaris die verantwoordelijk is voor de werking van informatiebeveiliging. Ik adviseer om te starten bij je reikwijdte. Controleer of die nog klopt. Heb je die in beeld? Je moet in beeld hebben wat je kritieke procesprocessen zijn, je ondersteunende systemen. Wat de classificatie van die processen en van die systemen is. Je moet je afdelingen in kaart hebben. Welke dreigingen en kwetsbaarheden er bestaan.

Interviewer: Dit is nogal wat, Annemieke. Je noemt nogal wat maatregelen die de mensen moeten gaan treffen. Is er een beetje hulp bij?

Annemieke de Wit: Natuurlijk. Risicomanagement is een lastig onderwerp. Daar komt veel bij kijken. Er is genoeg materiaal. Op de BIO-website kun je van alles vinden. Ik zal er een aantal uitlichten. De BIO2 vind je er vanzelfsprekend. Vers van de pers, de BIO2 is er in het Engels. Wellicht handig voor de leveranciers die je inzet of voor medewerkers waarvan Nederlands niet de moedertaal is. Dan is misschien zo'n Engelse vertaling heel erg handig. Dat zijn je basisdocumenten. We hebben ook één hele grote spreadsheet. De meeste mensen kennen hem al. We hebben de BIO in Excel. Daar is nu een BIO2 in Excel. Die zit in die grote spreadsheet. Dat document is handig als je die fit-gap analyse gaat maken. Als je de fit-gap analyse hebt gemaakt, kan je er een periodieke statusrapportage aan koppelen.

Annemieke de Wit: Dat zou een mooi document zijn om te gebruiken als fundament. In die grote spreadsheets zit nog meer. Daar zit de BIO1.04ZV in. Dat is de voorgaande versie. Daar zit die handreiking BIO2 opmaat in. Daar hadden we het net al over. Tevens zit daar de Was-wordt-lijst in. In die Was-wordt-lijst worden die drie documenten met elkaar vergeleken. Zo kan je daadwerkelijk zien wat er nu veranderd is in de tijd. Als je al de BIO1 in place had, hoef je nu nog alleen maar te focussen op die verschillen. Deze zijn in die Was-wordt-lijst grijs gemarkeerd. Ik denk dat het een heel handig document is. De mensen die met de BIO aan de slag gaan, kunnen daar handig gebruik van maken.

Interviewer: Als mensen nu meer willen weten over de BIO2, wat hen te doen staat, of wat er op hen afkomt, luister de aflevering met Erik Becker en de afleveringen met de twee Kees'en terug. De twee geestelijk vaders van de BIO2. Erik is nu de kartrekker. Heb je nog websites of plekken waar alle informatie rustig na te lezen is? Waar mensen een beetje inspiratie op kunnen doen?

Annemieke de Wit: Sowieso wat we net hebben gehad. De BIO, de formele en officiële website van de BIO. Dus www.bio-overheid.nl. Daar zou ik zeker kijken. VNG. Dat is een koepelorganisatie specifiek voor de gemeente. VNG heeft de IBD, de informatiebeveiliging dienst. Zij hebben ontzettend veel documenten. Ik zou aanbevelen om daar naartoe te gaan. Dan als laatste nog de CIP-website.

Interviewer: Dat is www.cip-overheid.nl?

Annemieke de Wit: Ja. Ik wil er nog één aan toevoegen. Dat is cip.pleio.nl. Specifiek voor de netwerkleden. Daarin ze kunnen samenwerken en vragen stellen. Het netwerk komt er samen. Het is een besloten site. Zeker aan te bevelen.

Interviewer: Dank je wel, Annemieke de Wit.

Annemieke de Wit: Graag gedaan.