Auteur: Fouad Taheri – Information Security Consultant
Meer over de wijzigingen en impact op jouw organisatie
Conceptversie BIO 2.0 gepubliceerd – de belangrijkste wijzigingen en impact
De Baseline Informatiebeveiliging Overheid (BIO) is sinds 2019 hét normenkader voor informatiebeveiliging binnen de gehele Nederlandse overheid. In april 2025 is de langverwachte conceptversie van de BIO2 gepubliceerd – een versie die beter aansluit op actuele dreigingen en de groeiende digitalisering.
Hoewel de BIO primair bedoeld is voor overheidsorganisaties, biedt deze nieuwe versie ook waardevolle handvatten voor organisaties buiten de overheid die onder de NIS2-richtlijn of de aankomende Cyberbeveiligingswet (Cbw) vallen – zoals vitale aanbieders, IT-dienstverleners en andere publieke ketenpartners. De wijzigingen hebben dus brede impact: niet alleen op de overheid zelf, maar ook op uitvoerende en ondersteunende partijen.
Update (september 2025): Inmiddels is de definitieve versie van BIO2 (versie 1.2) op 24 september 2025 officieel vastgesteld en gepubliceerd op bio-overheid.nl. De belangrijkste wijzigingen genoemd in dit blog zijn nog steeds van toepassing.
In dit blog lees je:
✓ Wat de belangrijkste wijzigingen zijn in BIO2;
✓ Wat deze wijzigingen betekenen voor jouw organisatie;
✓ Welke strategische keuzes je nu al moet maken voor transitie.
Wat zijn de belangrijkste wijzigingen in BIO2?
De conceptversie van BIO2 (versie 1.1) markeert een duidelijke koerswijziging ten opzichte van BIO 1.04. De actualisatie sluit beter aan op de nieuwe ISO/IEC 27001:2022-structuur én op Europese wetgeving zoals de NIS2-richtlijn. Dit zijn de vijf meest impactvolle wijzigingen:
1. Risicogebaseerd werken als fundament
BIO2 maakt een duidelijke breuk met de traditionele, maatregel gedreven aanpak. In plaats daarvan staat het Information Security Management System (ISMS) centraal. Organisaties moeten risico’s actief identificeren, beoordelen en beheersen via een cyclisch verbeterproces. De nadruk verschuift daarmee van het ‘afvinken’ van standaardmaatregelen naar sturing op basis van daadwerkelijke risico’s — geheel in lijn met de internationale norm ISO/IEC 27001:2022.
Een grote verandering is daarbij dat de vroegere indeling in basisbeveiligingsniveaus (BBN) volledig is komen te vervallen in de BIO2. In plaats van vooraf vastgestelde classificatie moeten organisaties hun eigen beveiligingsniveau bepalen op basis van risico’s.
Belangrijk: risicogestuurd beketent niet vrijblijvend. Als uit de risicoanalyse blijkt dat een maatregel van toepassing is, dan moet deze ook worden geïmplementeerd. Bovendien bevat BIO2 een set van verplichte overheidsmaatregelen die altijd gelden, ongeacht de uitkomst van de risicobeoordeling. Met deze benadering combineert BIO2 maatwerk op basis van risico’s, met een stevige én verplichte basisset aan beheersmaatregelen.
2. Nieuwe structuur en thematische indeling van maatregelen
De opbouw van de BIO is volledig herzien en volgt nu de vier thema’s uit ISO/IEC 27002:2022: organisatorisch, mensgericht, fysiek en technologisch.
Deze thematische indeling maakt de set aan beheersmaatregelen duidelijker, overzichtelijker en beter toepasbaar. Hierdoor kunnen organisaties de maatregelen eenvoudiger implementeren én integreren in bestaande compliance-frameworks. Ook zijn de maatregelen scherper geformuleerd, waardoor ze beter toetsbaar zijn.
3. Juridische verankering, governance en bestuurlijke verantwoordelijkheid
Waar de BIO tot nu toe vooral een beleidsmatig instrument was, krijgt BIO2 een juridisch fundament. Dit gebeurt via de implementatie van de Europese NIS2-richtlijn in de Nederlandse Cyberbeveiligingswet (Cbw). Voor overheidsorganisaties wordt de toepassing van BIO2 verplicht, met toezicht vanuit onder andere de Rijksinspectie Digitale Infrastructuur (RDI).
Voor niet-overheidsorganisaties – zoals vitale aanbieders en IT-dienstverleners die onder NIS2/Cbw vallen – geldt BIO2 als een belangrijk referentiekader. De NIS2 vereist dat deze organisaties passende technische en organisatorische maatregelen nemen op basis van risicobeheersing. Hoewel NIS2 niet expliciet voorschrijft dat de BIO gevolgd moet worden, biedt BIO2 wél een concreet en erkend normenkader dat goed aansluit op de wettelijke eisen. Veel organisaties kiezen er daarom bewust voor om (elementen van) de BIO toe te passen voor het invullen van hun zorgplicht en voor aantoonbare compliance.
Wat betekent dit concreet?
- Overheden worden juridisch verplicht om BIO2 te implementeren en worden hierop getoetst.
- Organisaties buiten de overheid zijn niet verplicht om BIO2 letterlijk te volgen, maar doen er verstandig aan deze te gebruiken als toetsingskader voor het voldoen aan de NIS2/Cbw.
- In beide gevallen geldt: bestuurders zijn expliciet eindverantwoordelijk voor informatiebeveiliging. Zij moeten aantoonbaar sturen, toezicht houden en zich inhoudelijk laten informeren. Bij nalatigheid kan dit leiden tot bestuurlijke aansprakelijkheid, sancties of reputatieschade.
4. Aansluiting op actuele dreigingen
BIO2 sluit beter aan op het huidige dreigingslandschap. De inhoud van de maatregelen is aangepast aan de digitale realiteit van vandaag, met extra aandacht voor thema’s zoals: ransomware, cloudbeveiliging, detectie en respons, incidentafhandeling en het gebruik van threat intelligence.
Deze aanscherpingen versterken vooral de operationele kant van informatiebeveiliging. Ze moeten ervoor zorgen dat overheidsorganisaties — en hun ketenpartners — weerbaarder worden tegen steeds complexere en geavanceerdere digitale dreigingen.
5. Meer aandacht voor ketenverantwoordelijkheid
BIO2 legt meer nadruk dan ooit op de rol van ketenpartners, leveranciers en samenwerkingsverbanden. Informatiebeveiliging stopt niet bij de grenzen van de eigen organisatie: risico’s moeten óók in de keten actief worden beheerst.
Dit betekent dat organisaties niet alleen intern hun beveiliging op orde moeten hebben, maar ook expliciet sturing moeten geven aan beveiliging bij uitbesteding en ketenafhankelijkheden.
Van inkoopprocessen tot dataverwerking: BIO2 maakt duidelijk dat informatiebeveiliging een gedeelde verantwoordelijkheid is.
Wat betekenen deze wijzigingen voor jouw organisatie?
De komst van BIO2 vraagt niet om een oppervlakkige wijziging, maar om een fundamentele herziening van hoe informatiebeveiliging is georganiseerd. De verschuiving naar risicogestuurd werken, de juridische verankering en de nadruk op governance en bestuurlijke verantwoordelijkheid maken dat organisaties — of je nu gemeente, provincie, uitvoeringsorganisatie of toeleverancier bent — opnieuw moeten kijken naar hun inrichting, werkwijze en verdeling van verantwoordelijkheden.
1. Van maatregelgericht naar integraal sturen op risico’s
Het draait niet langer om enkel het kunnen aantonen welke maatregelen zijn genomen, maar vooral om waarom — en hoe deze passen bij de geïdentificeerde risico’s. Dit vraagt om een volwassen benadering van risicomanagement, ondersteund door een goed ingericht en gedragen Information Security Management System (ISMS). Daarbij hoort ook een organisatiecultuur waarin continue verbetering geen bijzaak is, maar een structureel onderdeel van het beveiligingsproces.
2. Aanscherping van verantwoordelijkheden binnen alle lagen van de organisatie
Bestuurders, management en lijnverantwoordelijken krijgen een expliciete rol toebedeeld en worden geacht:
- Actief sturing te geven aan informatiebeveiliging
- Onderbouwde en risicogestuurde keuzes te maken
- Aantoonbaar betrokken te zijn bij beleid en uitvoering
Bewustwording en training op bestuurlijk niveau zijn geen vrijblijvende aanbevelingen meer — ze zijn verplicht en essentieel voor goed bestuur.
3. Herstructureren van het bestaande beveiligingsbeleid en -maatregelen
De invoering van BIO2 vereist een grondige herstructurering van het bestaande beveiligingsbeleid. Door de nieuwe thematische indeling (organisatorisch, mensgericht, fysiek, technologisch) moeten veel organisaties hun huidige beleid en beheersmaatregelen opnieuw mappen op de BIO2-structuur. Daarnaast zijn veel maatregelen inhoudelijk gewijzigd of aangescherpt. Dit betekent concreet: beleid herzien en actualiseren, documentatie en richtlijnen bijwerken, de samenhang binnen het ISMS herijken en maatregelen aantoonbaar implementeren in de dagelijkse praktijk. Een papieren update is niet genoeg — het gaat om daadwerkelijke toepassing en borging in de operatie.
4. Verantwoordelijkheid nemen voor de hele keten
Of je nu diensten afneemt of zelf leverancier bent: de eisen uit BIO2 stoppen niet bij je voordeur. Dat betekent dat je als organisatie actief moet sturen op de beveiliging bij partners, opdrachtnemers en andere ketenpartijen. Elementen als contractmanagement, due diligence en toezicht worden essentieel om risico’s buiten de eigen muren beheersbaar te houden. Let op: dit gaat verder dan alleen IT-dienstverleners — ook andere toeleveranciers en samenwerkingspartners vallen hieronder.
5. Juridische naleving en extern toezicht voorbereiden
Zodra de Cyberbeveiligingswet (NIS2) in werking treedt, wordt de BIO juridisch afdwingbaar. Dit betekent dat er extern toezicht komt op naleving — en dat organisaties niet alleen aan de norm moeten voldoen, maar governance, sturing en uitvoering moeten ook aantoonbaar op orde zijn. Wacht niet tot het wettelijk verplicht is — begin nu al met het op orde brengen van je informatiebeveiliging en documentatie.
Meet weten over de verwachte overgangstermijn? Lees ons blog.
6. Van verplicht naar verantwoord: de cultuurverandering
BIO@ vraagt meer dan voldoen aan eisen: het vraagt om onderbouwde keuzes. De norm stimuleert organisaties om proactief te sturen op risico’s, met ruimte voor maatwerk — maar óók met de bijbehorende verantwoordelijkheid. Deze verschuiving vraagt om meer dan alleen technische maatregelen. Het vereist een cultuur waarin bewustwording, eigenaarschap en volwassenheid centraal staan in governance en beleid. Informatiebeveiliging wordt daarmee niet alleen een taak van de security-afdeling, maar een gedeelde verantwoordelijkheid binnen de hele organisatie.
Hoe bereid je je voor op BIO2?
De overgang naar BIO2 betekent een structurele herziening van je informatiebeveiligingsaanpak. De nadruk op risicogestuurd werken, versterkte governance en juridische verankering maakt het essentieel om nu al aan de slag te gaan — ook al is de norm nog in conceptvorm. Hieronder vind je vijf praktische stappen die je vandaag al kunt zetten om je organisatie goed voor te bereiden.
Start met een overzichtelijke gapanalyse: waar staat je organisatie nu ten opzichte van de eisen in BIO2? Richt je daarbij niet alleen op de beheersmaatregelen, maar kijk breder — naar de inrichting van processen, rolverdeling, governance en documentatie.
Gebruik het document ‘was-wordt-lijst’ van bio-overheid als referentiepunt en neem daarin direct mee: de nieuwe thematische indeling (organisatorisch, mensgericht, fysiek en technologisch), de nadruk op risicogestuurd werken en de eisen aan de procesmatige sturing van informatiebeveiliging.
Een goede gapanalyse brengt niet alleen de verschillen in kaart, maar geeft richting aan je transitieplan.
BIO2 vereist expliciete rolverdeling én bestuurlijke betrokkenheid. Analyseer daarom wie er binnen jouw organisatie verantwoordelijk is voor besluitvorming, operationele sturing en toezicht op informatiebeveiliging. Zijn deze verantwoordelijkheden duidelijk belegd? Zijn bestuurders voldoende betrokken? Zorg dat dit op orde is.
BIO2 stelt duidelijke eisen aan een aantoonbaar werkende en volwassen beheersaanpak. Hoewel het begrip ISMS (Information Security Management System) niet uitgebreid wordt genoemd, is de norm inhoudelijk gebaseerd op de structuur en principes van ISO/IEC 27001:2022.
Beoordeel daarom of je huidige ISMS aansluit bij deze internationale norm. Breng in kaart waar aanpassingen nodig zijn om te voldoen aan de procesmatige en risicogestuurde benadering van BIO2. Denk aan thema’s als risicomanagement, monitoring, verbetermaatregelen en interne audits.
BIO2 hanteert een nieuwe thematische indeling van maatregelen, gebaseerd op de vier ISO/IEC 27002:2022-domeinen (organisatorisch, mensgericht, fysiek en technologisch). In plaats van je bestaande set één-op-één over te nemen, is het cruciaal om deze inhoudelijk te herzien, opnieuw te structureren en — waar nodig — aan te vullen.
Richt je daarbij op consistentie, aantoonbaarheid en afstemming op actuele risicobeoordeling. Zorg dat de herstructurering meer is dan een papieren exercitie — het moet de werking en effectiviteit van je beveiligingsmaatregelen daadwerkelijk versterken.
Het is cruciaal om te investeren in bewustwording, opleiding en draagvlak, op alle niveaus van de organisatie: van beleidsmakers tot lijnmanagers en uitvoerders. BIO2 maakt dit expliciet: bewustwording is geen optie, maar een verplicht onderdeel van een effectieve informatiebeveiligingsaanpak. Een goed beveiligde organisatie begint bij mensen die weten waarom informatiebeveiliging belangrijk is — en daar ook naar handelen.
Hulp nodig bij de overgang naar BIO2?
Bij Cuccibu ondersteunen we overheden en private organisaties bij de zorgvuldige en pragmatische implementatie van BIO2. We zijn actief in uiteenlopende sectoren — van zorg en onderwijs tot vitale infrastructuur en commerciële dienstverlening.
Onze ondersteuning varieert van gapanalyses en beleidsadvies tot het versterken van governance, risicomanagement en bewustwording. Of het nu gaat om het voldoen aan wettelijke verplichtingen of het structureel verhogen van je digitale weerbaarheid — wij denken graag met je mee.
Benieuwd waar jouw organisatie staat? Neem contact met ons op voor een eerste kennismaking. We vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!