Wat is de Baseline Informatiebeveiliging Overheid (BIO)?
De Baseline Informatiebeveiliging Overheid (BIO) is het gezamenlijke normenkader voor informatiebeveiliging van de Nederlandse overheid. De baseline beschrijft welke beheersmaatregelen overheidsorganisaties moeten treffen om hun informatie en systemen te beschermen tegen risico's zoals datalekken, cyberaanvallen en uitval. Het doel is helder: een betrouwbare en veilige digitale overheid waarop burgers en bedrijven kunnen vertrouwen.
De BIO werd ingevoerd om een einde te maken aan de wildgroei van afzonderlijke baselines per bestuurslaag. Tot 2019 had elke overheidslaag een eigen normenkader, met als gevolg dat dezelfde beveiligingsdoelen op verschillende manieren werden ingevuld. De BIO bracht die kaders samen in een uniforme baseline, zodat alle overheden dezelfde taal spreken en gegevens veilig met elkaar kunnen uitwisselen.
| Oude baseline | Voor welke overheidslaag? |
|---|---|
| BIR (Baseline Informatiebeveiliging Rijksdienst) | Rijksoverheid |
| BIG (Baseline Informatiebeveiliging Gemeenten) | Gemeenten |
| IBI (Interprovinciale Baseline Informatiebeveiliging) | Provincies |
| BIWA (Baseline Informatiebeveiliging Waterschappen) | Waterschappen |
Sinds de invoering van de BIO zijn deze vier baselines vervangen door één gezamenlijk kader. Het beheer van de baseline ligt bij het Centrum voor Informatiebeveiliging en Privacybescherming (CIP), dat de norm namens de overheid actueel houdt.
Voor wie geldt de BIO?
De BIO geldt voor alle lagen van de Nederlandse overheid. Concreet betekent dit dat de baseline van toepassing is op:
- de Rijksoverheid (ministeries en uitvoeringsorganisaties);
- alle gemeenten;
- de provincies;
- de waterschappen.
Daarnaast werkt de baseline door naar veel organisaties die in opdracht van of in samenwerking met de overheid persoonsgegevens of andere gevoelige informatie verwerken. Leveranciers en ICT-dienstverleners krijgen via aanbestedingen en contracten regelmatig de eis opgelegd om aantoonbaar volgens de BIO te werken. Wie diensten levert aan de publieke sector ontkomt er in de praktijk dus niet aan om de baseline te kennen.
De relatie met ISO 27001 en ISO 27002
De BIO staat niet op zichzelf, maar is gebouwd op de internationaal erkende normen voor informatiebeveiliging. De baseline neemt de structuur en beheersmaatregelen van ISO 27001 (het managementsysteem voor informatiebeveiliging) en ISO 27002 (de praktijkrichtlijn met concrete maatregelen) over, en vult die aan met specifieke overheidsmaatregelen.
Je kunt de BIO daarom zien als een nationale vertaling en aanscherping van de ISO-normen, toegesneden op de context en risico's van de publieke sector. Beide ISO-normen staan bovendien op de lijst met open standaarden van het Forum Standaardisatie, waarvoor binnen de overheid het principe “pas toe of leg uit” geldt. De BIO vervangt ISO 27001 en 27002 dus niet, maar bouwt erop voort. Voor professionals betekent dit dat kennis van de ISO-normen direct toepasbaar is bij de overheid, en dat een ISO 27001-traject en een BIO-implementatie elkaar grotendeels overlappen.
Op zoek naar een IT-audit- of compliancefunctie?
Professionals die de BIO, ISO 27001 en ENSIA-audits beheersen zijn bij overheden en hun leveranciers zeer gewild. Bekijk de nieuwste IT-audit-, security- en compliancevacatures in Nederland.
Bekijk IT-Audit VacaturesVan BIO naar BIO2: de belangrijkste veranderingen
De oorspronkelijke BIO was gebaseerd op de versies van ISO 27001 en ISO 27002 uit 2017. Omdat die normen inmiddels grondig zijn herzien, en omdat het dreigingsbeeld is veranderd, is er een vernieuwde baseline ontwikkeld: BIO2. Deze nieuwe versie is begin 2026 formeel gepubliceerd in de Staatscourant en markeert de grootste wijziging sinds de invoering van de BIO.
De drie belangrijkste veranderingen op een rij:
- Nieuwe normbasis. BIO2 is gebaseerd op de geactualiseerde normen ISO 27001:2023 en ISO 27002:2022. Daardoor sluit de baseline weer naadloos aan op de internationale standaard, met de bekende indeling in organisatorische, mensgerichte, fysieke en technologische maatregelen.
- De BBN-niveaus vervallen. In de oude BIO werkte je met vaste basisbeveiligingsniveaus (BBN1, BBN2 en BBN3). Die niveaus zijn in BIO2 losgelaten en vervangen door een volledig risicogestuurde aanpak: organisaties bepalen op basis van een risicoanalyse welke aanvullende maatregelen nodig zijn, bovenop een set verplichte overheidsmaatregelen.
- Wettelijke verankering. Waar de BIO vooral gold als bindende zelfregulering, is BIO2 juridisch verankerd via de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn.
| Kenmerk | BIO (oud) | BIO2 (nieuw) |
|---|---|---|
| Normbasis | ISO 27001:2017 en 27002:2017 | ISO 27001:2023 en 27002:2022 |
| Beveiligingsniveaus | Vaste niveaus BBN1, BBN2, BBN3 | Risicogestuurd, geen vaste BBN's |
| Indeling maatregelen | Klassieke ISO-hoofdstukindeling | Organisatorisch, mens, fysiek, technologisch |
| Juridische status | Bindende zelfregulering | Verankerd via de Cyberbeveiligingswet (NIS2) |
De overstap van vaste niveaus naar een risicogestuurde aanpak is de meest ingrijpende verandering. Het vraagt van overheden dat ze hun risico's expliciet in kaart brengen en onderbouwen welke maatregelen ze daarbij treffen. Dat maakt de rol van risicomanagement, security officers en auditors binnen de overheid alleen maar belangrijker.
BIO2, NIS2 en de Cyberbeveiligingswet
De vernieuwing van de baseline staat niet los van de Europese wetgeving. De NIS2-richtlijn verhoogt de eisen aan cyberbeveiliging voor essentiele en belangrijke entiteiten in de hele EU, waaronder veel overheidsorganisaties. Nederland heeft NIS2 omgezet in nationale wetgeving via de Cyberbeveiligingswet, die onder meer een zorgplicht en een meldplicht voor incidenten introduceert.
BIO2 is bewust zo ontworpen dat het invulling geeft aan die zorgplicht. Voor een overheidsorganisatie die onder de Cyberbeveiligingswet valt, is het toepassen van BIO2 daarmee een logische en grotendeels dekkende manier om aan de wettelijke beveiligingseisen te voldoen. De baseline en de wet versterken elkaar: de wet bepaalt het “wat” en BIO2 levert het “hoe”. Wie de samenhang tussen beide doorgrondt, is goud waard voor elke publieke organisatie die haar compliance op orde wil brengen.
ENSIA: zo legt de overheid verantwoording af
Een baseline hebben is één ding, aantonen dat je je eraan houdt is een tweede. Daarvoor kennen gemeenten het systeem ENSIA, wat staat voor Eenduidige Normatiek Single Information Audit. ENSIA bundelt de verschillende verantwoordingsverplichtingen rond informatiebeveiliging in één jaarlijkse, uniforme cyclus, gebaseerd op de BIO.
Via ENSIA leggen gemeenten op één moment en op dezelfde manier verantwoording af over de beveiliging van een reeks landelijke voorzieningen en registraties, waaronder:
- DigiD — de inlogvoorziening voor digitale overheidsdiensten;
- Suwinet — het systeem voor gegevensuitwisseling in het sociale domein;
- BRP (Basisregistratie Personen) en reisdocumenten;
- BAG, BGT en BRO — de basisregistraties voor onder meer adressen, topografie en de ondergrond.
De verantwoording verloopt in fasen: een zelfevaluatie, een voorbereiding, de eigenlijke verantwoording en de aanlevering. Voor de onderdelen met de hoogste eisen — in het bijzonder de DigiD- en Suwinet-aansluitingen — is bovendien een onafhankelijke IT-audit verplicht. Die audit mondt uit in een assurancerapport dat in Nederland alleen mag worden opgesteld en ondertekend door een gekwalificeerde Register EDP-auditor (RE). Daarmee is ENSIA niet alleen een interne exercitie, maar een traject waarin externe, gecertificeerde auditors een sleutelrol spelen.
Wat de BIO betekent voor jouw carriere
De combinatie van een vernieuwde baseline, een risicogestuurde aanpak en de nieuwe wettelijke eisen vanuit NIS2 zorgt voor een blijvend hoge vraag naar professionals die de BIO beheersen. Overheden moeten hun informatiebeveiliging niet alleen inrichten, maar ook continu actueel houden en jaarlijks aantoonbaar maken. Dat raakt een breed scala aan functies:
- IT-auditor en EDP-auditor (RE): voert de DigiD- en Suwinet-audits binnen ENSIA uit en geeft de assuranceverklaring af;
- IT-compliance auditor: bewaakt de aansluiting tussen de BIO, ISO 27001 en de eisen uit de Cyberbeveiligingswet;
- CISO en information security officer bij de overheid: vertaalt de baseline naar concreet beleid, risicoanalyses en maatregelen;
- Privacy officer bij een gemeente: bewaakt het raakvlak tussen informatiebeveiliging en de bescherming van persoonsgegevens.
Wil je je in deze richting ontwikkelen, dan zijn kennis van de ISO-normen en een gerichte auditkwalificatie een sterke combinatie. De CISA-certificering is wereldwijd de toonaangevende kwalificatie voor IT-auditors, en in Nederland leidt de postmaster IT-audit op tot Register EDP-auditor — precies het profiel dat een ENSIA-assuranceverklaring mag tekenen. Met de doorlopende vernieuwing van de baseline en de aanscherping vanuit NIS2 wordt expertise op het gebied van de BIO de komende jaren alleen maar waardevoller voor audit-, security- en compliancefuncties. Benieuwd hoe de beloning zich ontwikkelt? Lees dan ook onze salaristrends voor 2026.