Wat is de verwachte overgangstermijn van BIO 1.04 naar BIO 2.0?

Wat is de status van BIO 2.0?

Op 14 april 2025 is de conceptversie 1.1 van BIO 2.0 gepubliceerd. Deze versie is opgesteld door de werkgroep BIO en wordt ondersteund door de vier overheidskoepels: Rijk, Gemeenten, Provincies en Waterschappen. De conceptversie is publiek beschikbaar en wordt momenteel besproken binnen de daarvoor ingerichte besluitvormingsstructuren.

De definitieve vaststelling van BIO 2.0 wordt verwacht na bespreking in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), gepland voor het najaar van 2025. Pas na goedkeuring in dit overleg wordt BIO 2.0 formeel vastgesteld als vernieuwd normenkader voor informatiebeveiliging binnen de gehele overheid.

Let op: zolang BIO 2.0 nog niet definitief is vastgesteld, blijft BIO 1.04 formeel de geldende norm. Maar dat betekent niet dat je moet wachten met voorbereiden— de impact en lijn van de nieuwe versie zijn inmiddels duidelijk.

Wat is de verwachte overgangstermijn?

Hoewel de exacte overgangstermijn nog niet formeel is vastgesteld, zijn er al duidelijke indicaties zichtbaar op basis van de werkgroepdocumentatie en de communicatie vanuit de koepels. Er wordt gewerkt met een realistische invoeringstermijn waarin organisaties voldoende ruimte krijgen om de overstap zorgvuldig te maken.

De verwachting is dat er een gefaseerde overgangsperiode van circa 12 tot 18 maanden zal gelden na de formele vaststelling. In deze periode krijgen organisaties de ruimte om hun bestaande Information Security Management System (ISMS), risicomanagement en beleidsstructuur aan te passen aan de nieuwe indeling en eisen van de BIO 2.0.

Wat betekent dat concreet?
Tijdens deze overgangsperiode:

• Mag je blijven aantonen dat je voldoet aan BIO 1.04;
• Wordt het aanbevolen om al (gefaseerd) te implementeren volgens BIO 2.0;
• Wordt verwacht dat audits en interne controles geleidelijk verschuiven richting de nieuwe BIO-structuur.

Formele handhaving op BIO 2.0 zal waarschijnlijk pas volgen ná deze overgangsperiode, in lijn met de inwerkingtreding van de Cyberbeveiligingswet (Cbw), waarin BIO 2.0 een juridisch verankerde status krijgt. Dit wordt naar verwachting in de loop van 2026 of begin 2027 concreet.

Welke voorbereidingen kun je nu al treffen?

Ondanks dat de formele verplichting tot naleving van BIO 2.0 nog niet van kracht is, is het verstandig om nu al te starten met voorbereiden. De koers is helder en de conceptversie is beschikbaar.

Bovendien zijn de aanpassingen in zowel ISO 27001:2022 als BIO 2.0 ingevoerd om beter aan te sluiten op het actuele dreigingsbeeld. De nieuwe structuur biedt dus niet alleen juridische, maar ook praktische voordelen. Zet nu al de eerste stappen om tijdsdruk te voorkomen en risico’s – waarmee je vandaag de dag al wordt geconfronteerd – te beperken.

1. Vergelijk BIO 1.04 met BIO 2.0 en voer een gapanalyse uit
Analyseer de verschillen tussen BIO 1.04 en de conceptversie van BIO 2.0. Breng in kaart welke onderdelen van je beleid, processen, maatregelen en ISMS moeten worden aangepast. Kijk daarbij niet alleen naar inhoudelijke verschillen bij de beheersmaatregelen, maar ook naar structurele en governance-gerelateerde wijzigingen.

2. Versterk je ISMS en focus op risicomanagement
Zorg dat je ISMS niet alleen ‘op papier’ staat, maar ook daadwerkelijk functioneert als sturingsinstrument. BIO 2.0 vereist een volwassen, cyclisch werkend ISMS met een centrale rol voor risicomanagement. Veel organisaties zullen hiervoor hun aanpak moeten verdiepen.

3. Richt governance en rolverdeling goed in
Maak inzichtelijk wie waarvoor verantwoordelijk is: van bestuurders en lijnmanagement tot security officers en proceseigenaren. Zorg dat die verantwoordelijkheden gedragen én geborgd zijn. BIO 2.0 stelt expliciete eisen aan governance en bestuurlijke betrokkenheid.

4. Herstructureer je maatregelen volgens de nieuwe thema’s
BIO 2.0 hanteert een nieuwe indeling in vier thema’s: organisatorisch, mensgericht, fysiek en technologisch. Breng je bestaande maatregelen opnieuw in kaart op basis van deze structuur en beoordeel welke aanvullingen of wijzigingen nodig zijn. Verwacht met name wijzigingen rond onderwerpen als cloudbeveiliging, detectie en response, operationele technologie, ketenbeheer en dreigingsinformatie.

Tip! Leg goed vast wanneer en waarom je een maatregel aanpast. Zo houd je tijdens de overgangsperiode grip op wat nog onder BIO 1.04 valt en wat al BIO 2.0-proof is. Dit voorkomt verwarring bij interne controles en externe audits.

5. Investeer in bewustwording, opleiding en draagvlak
Een cultuur van informatiebeveiliging ontstaat niet vanzelf. Betrek medewerkers, managers en bestuurders tijdig. Zorg dat ze begrijpen wat de impact is van de nieuwe BIO en waarom aanpassing noodzakelijk is — juridisch én operationeel.

Meer weten over de wijzigingen en impact van de BIO 2.0? Lees dan ons blog ‘Conceptversie BIO 2.0 gepubliceerd: wijzigingen en impact’.