De Baseline Informatiebeveiliging Overheid 2, kortweg BIO2, is het vernieuwde basisnormenkader voor informatiebeveiliging binnen de overheid. Het kader geldt voor alle overheidslagen: Rijk, gemeenten, provincies en waterschappen. Op 5 maart 2026 is BIO2 versie 1.3 gepubliceerd in de Staatscourant en beschikbaar gesteld via de BIO-website. Deze versie vervangt BIO v1.04 in het digitale verkeer met het Rijk en vervangt ook BIO2 v1.2, die eerder in september 2025 was vastgesteld. (bron: bio-overheid.nl)

BIO2 is daarmee een belangrijke stap naar een meer uniforme, actuele en bestuurbare aanpak van informatiebeveiliging binnen de publieke sector. Waar organisaties eerder vaak werkten met verschillende interpretaties, overgangsversies en losse verantwoordingslijnen, biedt BIO2 v1.3 een nieuw gezamenlijk uitgangspunt.

Waarom is er een nieuwe versie van BIO2?

BIO2 versie 1.3 is aangepast vanwege de relatie met de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn. De nieuwe versie brengt de teksten beter in lijn met de ministeriële regeling voor de sector Overheid onder de Cyberbeveiligingswet. Ook zijn inconsistenties verwijderd en verduidelijkingen toegevoegd. (bron: bio-overheid.nl)

De aanpassingen zijn inhoudelijk beperkt, maar bestuurlijk belangrijk. BIO2 wordt namelijk nadrukkelijker verbonden met de wettelijke zorgplicht voor de beveiliging van netwerk- en informatiesystemen. Daarmee verschuift informatiebeveiliging verder van een intern kwaliteitskader naar een aantoonbare verplichting voor bestuur, management en uitvoering.

Wat verandert er met BIO2 v1.3?

De kern van BIO2 blijft hetzelfde: overheidsorganisaties moeten informatiebeveiliging risicogestuurd, aantoonbaar en structureel organiseren. De nieuwe versie maakt vooral duidelijker hoe BIO2 zich verhoudt tot de Cyberbeveiligingswet.

Een belangrijk punt is dat drie overheidsmaatregelen zijn gemarkeerd omdat zij buiten de reikwijdte van de Cyberbeveiligingswet vallen. De wet richt zich namelijk op de beveiliging van netwerk- en informatiesystemen. Voor maatregelen die buiten die scope vallen, blijft verplichtende zelfregulering van kracht. (bron: bio-overheid.nl)

Daarmee ontstaat een dubbele betekenis van BIO2. Voor onderdelen die onder de Cyberbeveiligingswet vallen, krijgt BIO2 een wettelijke lading. Voor onderdelen die daarbuiten vallen, blijft BIO2 het gezamenlijke overheidskader voor zelfregulering, verantwoording en professionalisering.

BIO2 en ISO 27001/27002

BIO2 sluit aan op internationale normen voor informatiebeveiliging. Het BIO2-kader is gestructureerd volgens NEN-EN-ISO/IEC 27001:2023. De overheidsmaatregelen zijn gestructureerd volgens NEN-EN-ISO/IEC 27002:2022. BIO2 vervangt deze ISO-normen niet, maar vult ze aan voor de context van de overheid.

Dat betekent dat BIO2 organisaties helpt om informatiebeveiliging niet alleen technisch, maar ook organisatorisch en bestuurlijk in te richten. Het gaat om risicomanagement, governance, maatregelen, monitoring, verantwoording en continue verbetering.

Van voldoen naar aantoonbaar beheersen

Een belangrijk uitgangspunt van BIO2 is dat informatiebeveiliging geen eenmalig project is. Organisaties moeten maatregelen niet alleen inrichten, maar ook onderhouden, beoordelen en verbeteren. De BIO2 benadrukt daarmee het belang van een cyclisch proces: risico’s bepalen, maatregelen kiezen, uitvoeren, monitoren, evalueren en bijsturen.

Voor overheidsorganisaties betekent dit dat aantoonbaarheid steeds belangrijker wordt. Niet alleen de vraag “hebben we beleid?” telt, maar vooral: is duidelijk welke systemen, diensten en informatieobjecten onder de scope vallen, welke risico’s daarbij horen, welke maatregelen zijn genomen en waar het bewijs staat?

Wat betekent BIO2 voor digitale portfolio’s?

BIO2 raakt direct aan websites, apps, domeinen, formulieren, portalen en andere digitale kanalen. Deze voorzieningen maken onderdeel uit van het digitale landschap van een organisatie en kunnen risico’s bevatten op het gebied van beschikbaarheid, integriteit, vertrouwelijkheid, beheer, leveranciersafhankelijkheid en toegangscontrole.

Daarom is het niet genoeg om BIO2 alleen op beleidsniveau te benaderen. Organisaties hebben ook operationeel inzicht nodig: welke digitale voorzieningen zijn er, wie is eigenaar, welke leverancier is betrokken, welke techniek wordt gebruikt, welke risico’s zijn bekend en welke maatregelen zijn aantoonbaar genomen?

Juist hier ontstaat de koppeling met het centrale register en lifecyclemanagement. Door digitale voorzieningen centraal vast te leggen, kunnen organisaties BIO2-maatregelen verbinden aan concrete assets, eigenaren, risico’s, acties en bewijsstukken.

Hoe Cilde helpt bij BIO2

Cilde helpt organisaties om BIO2 toepasbaar te maken op hun digitale portfolio. Niet door het normenkader als losse checklist te behandelen, maar door BIO2 te verbinden aan de dagelijkse sturing op websites, apps, domeinen en digitale kanalen.

Met KEA ontstaat één centraal beeld van het digitale landschap. Per voorziening wordt vastgelegd wat het is, wie verantwoordelijk is, welke techniek wordt gebruikt, welke risico’s bestaan, welke lifecyclefase van toepassing is en welke acties of bewijsstukken nodig zijn. Zo wordt BIO2 onderdeel van een doorlopende werkwijze voor grip, verbetering en verantwoording.

Explain once, comply to many

Veel eisen uit BIO2 overlappen met andere normenkaders en verplichtingen, zoals ITGC, NIS2, WCAG, Archiefwet, Woo en MDTO. In al deze kaders komen vergelijkbare vragen terug: wat beheren we, wie is verantwoordelijk, welke risico’s zijn er, welke maatregelen zijn getroffen en hoe tonen we dat aan?

Cilde werkt daarom vanuit het principe:

Explain once, comply to many.

Leg de basisinformatie één keer goed vast in het centrale register en gebruik diezelfde informatie vervolgens voor meerdere normenkaders, rapportages, audits en verbeterprogramma’s. Zo voorkomt de organisatie dubbel werk en ontstaat een actueel, herbruikbaar en controleerbaar beeld.

BIO2 in de praktijk

Een praktische BIO2-aanpak begint met inzicht. Organisaties moeten weten welke digitale voorzieningen zij hebben en welke daarvan kritisch zijn voor dienstverlening, informatievoorziening of interne processen. Daarna volgt de koppeling aan eigenaarschap, risico’s, maatregelen en bewijs.

Cilde ondersteunt dit met een werkwijze waarin de volgende vragen centraal staan:

Welke websites, apps, domeinen en digitale kanalen zijn onderdeel van het portfolio?

Wie is verantwoordelijk voor beheer, inhoud, techniek en besluitvorming?

Welke voorzieningen zijn kritisch voor dienstverlening of informatievoorziening?

Welke risico’s zijn bekend op het gebied van beveiliging, beheer, afhankelijkheden en continuïteit?

Welke BIO2-maatregelen zijn relevant voor deze voorzieningen?

Welke acties staan open en wie is eigenaar van opvolging?

Welke bewijsstukken zijn beschikbaar voor rapportage, audit en verantwoording?

Door deze vragen structureel te beantwoorden, wordt BIO2 geen papieren normenkader, maar een bestuurbaar proces.

Van normenkader naar stuurinformatie

De waarde van BIO2 ligt niet alleen in compliance. Het kader helpt organisaties ook om betere keuzes te maken over hun digitale landschap. Welke voorzieningen vragen extra aandacht? Welke systemen zijn verouderd? Waar ontbreekt eigenaarschap? Welke leveranciers of afhankelijkheden vormen een risico? En waar is aanvullende besluitvorming nodig?

Met Cilde wordt BIO2 vertaald naar concrete stuurinformatie. Bestuurders, CISO’s, CIO’s, webteams, informatiebeheerders en auditors kijken naar hetzelfde actuele beeld. Dat maakt het makkelijker om prioriteiten te stellen, verantwoordelijkheden te beleggen en voortgang aantoonbaar te maken.

Vooruitblik

De publicatie van BIO2 v1.3 is geen eindpunt. Het streven is om eind 2027 een volgende versie van BIO2 uit te brengen. In 2026 start het Centrum Informatiebeveiliging en Privacybescherming met een evaluatie samen met alle overheidslagen. Ook zijn ondersteunende middelen, zoals de BIO2 in Excel en de was-wordt-lijst, geactualiseerd. (bron: bio-overheid.nl)

Voor organisaties is dit hét moment om de basis op orde te brengen. Niet wachten tot elke verplichting volledig is uitgekristalliseerd, maar nu beginnen met inzicht, eigenaarschap, risicosturing en bewijsvoering.

Conclusie

BIO2 versie 1.3 maakt informatiebeveiliging binnen de overheid actueler, eenduidiger en beter verbonden met de Cyberbeveiligingswet. Voor organisaties betekent dit dat zij hun digitale landschap aantoonbaar moeten kennen, beheren en verbeteren.

Cilde helpt daarbij door BIO2 te verbinden aan het centrale register, lifecyclemanagement en normenkaders. Zo ontstaat één werkwijze voor grip op digitale voorzieningen, risico’s, maatregelen en bewijs.

Explain once, comply to many.
Eén keer goed vastleggen. Meervoudig gebruiken. Continu aantonen.