BIO & NIS2: Wat kan je ermee?

19 september 2024

BIO & NIS2: Wat kan je ermee?

De komende jaren zullen gemeenten worden geconfronteerd met een golf van nieuwe Europese wet- en regelgeving, voortkomend uit de Digital Decade. Een belangrijke stap hierin is de implementatie van de NIS2-richtlijn, onderdeel van de EU-strategie voor cyberbeveiliging, die is ontworpen om Europa voor te bereiden op het digitale tijdperk. NIS2, oftewel de Network and Information Security directive, is een uitbreiding van de eerdere NIS-richtlijn en stelt strengere eisen aan de cyberbeveiliging van essentiële en belangrijke diensten binnen de EU. Tegelijkertijd wordt de Baseline Informatiebeveiliging Overheid (BIO) binnenkort wettelijk verankerd, wat de verantwoordelijkheid van gemeenten op het gebied van informatieveiligheid verder zal vergroten.

Het is duidelijk dat de rol van cyberbeveiliging steeds prominenter wordt. Toch zien we dat informatieveiligheid nog niet altijd leeft binnen de overheid. Het gebrek aan aandacht voor deze ontwikkeling kan verschillende oorzaken hebben, zoals beperkte tijd, financiële middelen, of een tekort aan mankracht. Toch brengt dit risico’s met zich mee die de bedrijfscontinuïteit en dienstverlening van gemeenten kunnen bedreigen. De NIS2 en BIO(2) bieden hiervoor echter niet alleen duidelijke richtlijnen, maar kunnen ook dienen als een noodzakelijke ‘stok achter de deur’. Daarom is het van belang dat gemeenten nu in actie komen.

 

Wat zijn NIS2 en BIO(2)?

De NIS2-richtlijn is ontworpen om de weerbaarheid van essentiële diensten te verbeteren en de cyberbeveiliging binnen EU-lidstaten te versterken. Deze richtlijn gaat voor Nederland in op 1 juli 2025 en reguleert een breder scala aan sectoren, waaronder overheidsinstellingen. In Nederland zal de NIS2 in de vorm van de Cyberbeveiligingswet (Cbw) worden geïmplementeerd. Het doel is om aanvallen te voorkomen én om snel te kunnen herstellen na incidenten, zodat de dienstverlening ononderbroken blijft.

De BIO is het normenkader voor de beveiliging van overheidsinformatie en -systemen. Vanaf 2019 is de BIO van kracht voor het Rijk, gemeenten, waterschappen en provincies. De BIO is gebaseerd op de ISO 27001/2 en beschrijft de minimale eisen voor informatiebeveiliging. Het naleven van de BIO is een belangrijke stap richting de zorgplicht die de NIS2 oplegt. Het Ministerie van BZK is van plan om de BIO wettelijk te verankeren en de eisen van de NIS2-richtlijn hierin mee te nemen. Gemeenten kunnen hierop inspelen door hun bestaande BIO-compliance te versterken en daarmee voor te bereiden op de toekomstige BIO2, die vermoedelijk per oktober 2024 in zal gaan en nog strengere eisen zal stellen.

 

De Drie Opties voor Gemeenten

Nu deze regelgeving steeds dichterbij komt, staan gemeenten voor een belangrijke keuze. De aanpak die zij kiezen heeft grote invloed op hun toekomstige informatieveiligheid!

 

Optie 1: Afwachten tot wettelijke eisen van kracht zijn 

Een mogelijke benadering voor gemeenten is om te wachten met actie totdat de NIS2 en BIO verplicht worden. Hoewel dit op het eerste gezicht een veilige keuze lijkt, brengt het aanzienlijke risico’s met zich mee. Gemeenten lopen nu al beveiligingsrisico’s, zoals kwetsbaarheid voor cyberaanvallen, datalekken, en onderbrekingen in de bedrijfscontinuïteit. Door te wachten met het nemen van maatregelen, wordt de kans vergroot dat deze risico’s ook werkelijkheid worden. Bovendien kan het uitstellen van actie leiden tot een gebrek aan paraatheid wanneer de wettelijke eisen eenmaal van kracht zijn, wat kan resulteren in juridische en financiële sancties. Het niet proactief moderniseren van de informatieveiligheid kan uiteindelijk schadelijk zijn voor de reputatie van de gemeente en het vertrouwen van burgers en stakeholders aantasten.

Wij adviseren daarom om nu te beginnen met voorbereidingen, in plaats van te wachten tot de regelgeving gemeenten daartoe dwingt.

 

Optie 2: Afzonderlijk Implementeren van NIS2 en BIO(2) 

Als je besluit tijdig je voorbereidingen te treffen, kan je ervoor kiezen de NIS2 en BIO(2) afzonderlijk te implementeren, waarbij elk kader met zijn eigen team en processen wordt aangepakt. Deze optie kan nuttig zijn als een organisatie al bezig is met een van de twee normen en over de nodige middelen beschikt om beide parallel te beheren. Het voordeel hiervan is dat zeer gerichte beveiligingsmaatregelen kunnen worden genomen die specifiek zijn afgestemd op de eisen van elk kader. Deze aanpak biedt meer controle over de naleving van de specifieke eisen van zowel NIS2 als BIO(2). Echter, het afzonderlijk implementeren van beide richtlijnen kan leiden tot inefficiënties en hogere kosten. Er kunnen overlappen en tegenstrijdigheden ontstaan, wat verwarring en extra werk met zich mee brengt. In sommige gevallen kan dit zelfs leiden tot duplicatie van inspanningen, waardoor de organisatie onnodig wordt belast.

 

Optie 3: Integraal Implementeren van NIS2 en BIO

Een andere optie is een integrale aanpak waarbij de implementatie van NIS2 en BIO(2) wordt gecombineerd tot één samenhangend beveiligingsprogramma. Dit verhoogt de efficiëntie door overlappende eisen te consolideren en één uniform beleid te creëren dat aan beide normen voldoet. Een geïntegreerde aanpak leidt tot een gestroomlijnde beveiligingsstrategie, wat lagere kosten, betere coördinatie en een sterkere beveiliging kan opleveren. Het stelt gemeenten in staat om risico’s binnen de hele organisatie effectiever te beheren door middel van consistente procedures en controles. Daarnaast draagt deze aanpak bij aan het bevorderen van een cultuur van veiligheid en bewustwording, wat essentieel is voor het waarborgen van bedrijfscontinuïteit en het bieden van betrouwbare dienstverlening. Hoewel de integratie van verschillende teams en processen enige zorgvuldige planning en afstemming vereist, wegen de voordelen op tegen de mogelijke uitdagingen.

 

Ons advies

Native raadt aan om te kiezen voor een integrale aanpak. Deze benadering biedt niet alleen een robuuste beveiligingsstrategie, maar ook de efficiëntie en kostenbesparingen die nodig zijn om in een steeds complexere digitale omgeving te kunnen blijven opereren. Door NIS2 en BIO(2) samen te voegen in één coherent programma, is jouw gemeente beter voorbereid op de toekomst.

Het Ministerie van BZK heeft al een mapping gemaakt van de NIS2-maatregelen en de BIO.  De mapping geeft inzicht in welke maatregelen uit de NIS2 verplicht, optioneel of situationeel zijn. En hoe ze zich verhouden tot de NEN-EN-ISO/IEC 27002 (nl) en de huidige BIO.

 

Delen via

Actueel

Volwassenheidsmeting 2.0: Verantwoord datagedreven werken in het tijdperk van AI en ethiek

14 november 2024

Volwassenheidsmeting 2.0: Verantwoord datagedreven werken in het tijdperk van AI en ethiek

Werken met architectuur - van onbekend tot onmisbaar 

31 oktober 2024

Werken met architectuur - van onbekend tot onmisbaar 

Webinar - AI verkennen in de gemeentelijke context

17 oktober 2024

Webinar - AI verkennen in de gemeentelijke context

Common Ground: alleen samen komen we verder

10 oktober 2024

Common Ground: alleen samen komen we verder