De BIO2 vormt het nieuwe kader voor informatiebeveiliging binnen de overheid. Dit vernieuwde model is tot stand gekomen na een evaluatie van de huidige BIO en sluit aan op de ontwikkelingen rondom de NIS2-richtlijn. Hiermee geeft de BIO2 invulling aan de zorgplicht uit de NIS2-richtlijn voor de overheid. De BIO2 is onder leiding van BZK ontwikkeld in samenwerking met gemeenten, provincies, waterschappen en het rijk. De BIO2 is gebaseerd op de laatste versie van de ISO 27001 en de ISO 27002. De BIO2 is gepubliceerd op de GitHub pagina van het ministerie van Binnenlandse zaken. 

Wat is de BIO2?

De BIO2 is een doorontwikkeling van de huidige BIO 1.04. In deze nieuwe versie zijn enkele belangrijke veranderingen doorgevoerd: 

• Het principe van de basis beveiligingsniveau’s (BBN’s) is losgelaten. De BIO2 hanteert een risicogebaseerde aanpak; 
• Het inrichten van een Information Security Management System (ISMS) volgens de ISO 27001–norm wordt verplicht gesteld; 
• De indeling van de controls/beheersmaatregelen en overheidsmaatregelen sluit aan bij vernieuwde indeling van de ISO 27002. 

Het nieuwe ontwerp van de BIO2 

De inhoud van de BIO2 is tot stand gekomen met input van experts die via een internetconsultatie werden uitgenodigd mee te denken. Op basis van de feedback is de BIO2 verder ontwikkeld en verbeterd. De GitHub-pagina blijft bestaan en commentaar kan nog steeds worden aangeleverd.  

Planning BIO2 

Op 23 september 2025 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) de Baseline Informatiebeveiliging Overheid versie 2 (BIO2) bestuurlijk vastgesteld. De nieuwe BIO2 zal uiteindelijk wettelijk verankerd zal worden in de Cbw. Gemeenten blijven tot de inwerkingtreding van de Cbw formeel de BIO 1.04 gebruiken, maar kunnen de BIO2 nu al toepassen als richtinggevend kader. 

Samenwerking 

De IBD werkt samen met een werkgroep van circa 30 gemeenten aan ondersteuningsproducten voor de BIO2 implementatie. Het team Agenda Digitale Veiligheid (ADV) en het ENSIA-team zijn ook onderdeel van de werkgroep. De producten die ontwikkeld worden zullen in de praktijk door middel van pilots worden getoetst bij een aantal gemeenten. 

Implementatieondersteuning BIO2 

Hoewel de wettelijke verankering van de BIO2 nog ver weg lijkt, adviseert de IBD gemeenten om nu alvast te starten met de voorbereiding voor de implementatie van de BIO2. Ter ondersteuning worden door de IBD nieuwe producten ontwikkeld. Op dit moment zijn de volgende producten beschikbaar: 

• BIO2 Gap–analyse (inclusief volwassenheid risicomanagement) 
• BIO2 Handreiking ISMS (inclusief templates voor contextanalyse, scopebeschrijving, interne auditprogramma en management review proces) 
• BIO2 Kans– en impacttabellen gemeenten
• BIO2 Lijst met kritieke processen
• BIO2 Beschrijving van ISMS–verantwoordelijkheden bij gemeenten
• BIO2 Infographic: wat is een ISMS?
• BIO2 Handreiking ISMS proces implementatie
• BIO2 Handreiking risicomanagement voor gemeenten (inclusief bijlagen) 
• BIO2 Handreiking diepgaande risicoanalyse
• BIO2 Diepgaande Risicoanalyse Methode Gemeenten (Excel)

Bestuurlijke draagvlak is voor de implementatie van de BIO2 essentieel. De IBD adviseert CISO’s van gemeenten in overleg met de GS om samen met de verantwoordelijken binnen afdelingen of werkprocessen de huidige stand van zaken in kaart te brengen. Dit kan worden vertaald in een beknopt plan van aanpak voor de BIO2.  Zie ook: https://www.informatiebeveiligingsdienst.nl/nieuws/gemeente-koggenland-stelt-projectplan-implementatie-nis2-beschikbaar/ 

Webinars Update BIO2 ondersteuningsprogramma

Ieder kwartaal organiseert de IBD een webinar rondom het ondersteuningsprogramma waarin onder meer nieuwe producten worden toegelicht. Deze webinars worden opgenomen.

• Opname van het webinar op dinsdag 26 november 2024
• Opname van het webinar op dinsdag 25 maart 2025
• Opname van het webinar op dinsdag 24 juni 2025

Veelgestelde vragen 

Klik hier voor de veelgestelde vragen voor gemeenten over NIS2, de Cyberbeveiligingswet en BIO2.