Wat is de verwachte overgangstermijn van BIO 1.04 naar BIO2?

Wat is de status van BIO2?

De conceptversie (1.1) van BIO2 werd op 14 april 2025 gepubliceerd. Deze versie is opgesteld door de werkgroep BIO en werd gedragen door de vier overheidskoepels: Rijk, Gemeenten, Provincies en Waterschappen.

Op 23 september 2025 is de definitieve versie van BIO2 ter instemming voorgelegd aan het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), waar deze is goedgekeurd. Op 24 september 2025 is de definitieve versie (1.2) van BIO2 gepubliceerd op bio-overheid.nl, inclusief een was-wordt-lijst met alle inhoudelijke wijzigingen ten opzichte van BIO 1.04.

De definitieve BIO2 geldt vanaf dat moment als verplichtende zelfregulering voor provincies, waterschappen en het Rijk. Gemeenten blijven voorlopig formeel werken met BIO 1.04, maar kunnen BIO2 al als richtinggevend kader gebruiken.

De inwerkingtreding van de Cyberbeveiligingswet (Cbw), waarin BIO2 juridisch wordt verankerd, wordt momenteel verwacht in het tweede kwartaal van 2026. In aanloop daarnaartoe zal waarschijnlijk nog een geactualiseerde versie van BIO2 verschijnen, waarin met name een juridische vertaling van de huidige versie wordt opgenomen. Met de inwerkingtreding van de Cbw wordt BIO2 voor álle overheidsorganisaties een wettelijke verplichting.

Wat is de verwachte overgangstermijn?

Hoewel er nog geen formeel vastgelegde overgangstermijn is, zijn de verwachtingen inmiddels helder. Op basis van communicatie vanuit de werkgroep BIO en de betrokken koepelorganisaties wordt uitgegaan van een gefaseerde overgangsperiode van circa 12 tot 18 maanden.

Deze periode biedt overheidsorganisaties de ruimte om hun bestaande Information Security Management System (ISMS), risicomanagement en beleidsstructuur aan te passen aan de nieuwe indeling en eisen van BIO2.

Wat betekent dat concreet?

• Voor provincies, waterschappen en het Rijk: Vanaf 24 september geldt BIO2 als verplichte zelfregulering. De BIO 1.04 komt hiermee te vervallen. 
• Voor gemeenten: Zij blijven voorlopig de BIO 1.04 hanteren als verplichtende zelfregulering. In de tussentijd wordt aanbevolen om BIO2 richtinggevend toe te passen en alvast te beginnen met de voorbereidingen.

Formele handhaving op basis van BIO2 zal waarschijnlijk pas volgen ná deze overgangsperiode en zodra de Cyberbeveiligingswet (Cbw) in werking treedt. De BIO2 wordt juridisch verankerd in de Cbw.

Welke voorbereidingen kun je nu al treffen?

Ondanks dat de formele wettelijke verplichting tot naleving van BIO2 nog niet van kracht is, is het verstandig om nu al te starten met voorbereiden.

Bovendien zijn de aanpassingen in zowel ISO 27001:2022 als BIO2 ingevoerd om beter aan te sluiten op het actuele dreigingsbeeld. De nieuwe structuur biedt dus niet alleen juridische, maar ook praktische voordelen. Zet nu al de eerste stappen om tijdsdruk te voorkomen en risico’s – waarmee je vandaag de dag al wordt geconfronteerd – te beperken.

1. Vergelijk BIO 1.04 met BIO2 en voer een gapanalyse uit
Analyseer de verschillen tussen BIO 1.04 en de BIO2. Breng in kaart welke onderdelen van je beleid, processen, maatregelen en ISMS moeten worden aangepast. Kijk daarbij niet alleen naar inhoudelijke verschillen bij de beheersmaatregelen, maar ook naar structurele en governance-gerelateerde wijzigingen.

2. Versterk je ISMS en focus op risicomanagement
Zorg dat je ISMS niet alleen ‘op papier’ staat, maar ook daadwerkelijk functioneert als sturingsinstrument. BIO2 vereist een volwassen, cyclisch werkend ISMS met een centrale rol voor risicomanagement. Veel organisaties zullen hiervoor hun aanpak moeten verdiepen.

3. Richt governance en rolverdeling goed in
Maak inzichtelijk wie waarvoor verantwoordelijk is: van bestuurders en lijnmanagement tot security officers en proceseigenaren. Zorg dat die verantwoordelijkheden gedragen én geborgd zijn. BIO2 stelt expliciete eisen aan governance en bestuurlijke betrokkenheid.

4. Herstructureer je maatregelen volgens de nieuwe thema’s
BIO2 hanteert een nieuwe indeling in vier thema’s: organisatorisch, mensgericht, fysiek en technologisch. Breng je bestaande maatregelen opnieuw in kaart op basis van deze structuur en beoordeel welke aanvullingen of wijzigingen nodig zijn. Verwacht met name wijzigingen rond onderwerpen als cloudbeveiliging, detectie en response, operationele technologie, ketenbeheer en dreigingsinformatie.

Tip! Leg goed vast wanneer en waarom je een maatregel aanpast. Zo houd je tijdens de overgangsperiode grip op wat nog onder BIO 1.04 valt en wat al BIO2-proof is. Dit voorkomt verwarring bij interne controles en externe audits.

5. Investeer in bewustwording, opleiding en draagvlak
Een cultuur van informatiebeveiliging ontstaat niet vanzelf. Betrek medewerkers, managers en bestuurders tijdig. Zorg dat ze begrijpen wat de impact is van de nieuwe BIO en waarom aanpassing noodzakelijk is — juridisch én operationeel.

Meer weten over de wijzigingen en impact van de BIO2? Lees dan ons blog ‘Conceptversie BIO 2.0 gepubliceerd: wijzigingen en impact’.