2019 en 2020 worden belangrijke jaren op het gebied van informatieveiligheid. In het bijzonder voor Gemeenten, het Rijk, Waterschappen, Provincies. De Baseline Informatiebeveiliging Overheid, ofwel de BIO, doet namelijk haar intrede.
Vanaf 1 januari 2020 vervangt de BIO de huidige standaarden voor beveiliging; Baseline Informatiebeveiliging voor Gemeenten, de Baseline Informatiebeveiliging Rijksdienst, Baseline Informatiebeveiliging Waterschappen en de Interprovinciale Baseline Informatiebeveiliging. 2019 is een zogenaamd overgangsjaar waarin organisaties de gelegenheid krijgen zich op deze nieuwe standaard voor te bereiden. Kortom, dit is een druk jaar waarin organisaties geconfronteerd worden met nieuwe standaarden die impact gaan hebben op de bedrijfsvoering.
Maar 1: ‘Ik voldoe al aan de huidige standaard!’
Nou en? Of je nu een gemeente, rijk of waterschap bent, je hebt misschien al gewerkt aan informatiebeveiliging. Je hebt immers al bestaande normenkaders geïmplementeerd. Toch betekent dit niet dat je je het kan permitteren géén aandacht te besteden aan de BIO. Niet in de laatste plaats omdat je wellicht op dit moment niet volledig voldoet aan de huidige norm. Als je de BIO niet goed hebt geanalyseerd en de impact voor jouw organisatie niet hebt ingeschat, kun je ook niet zeggen dat het wel mee zal vallen. ‘Meten is weten’ in dit geval. Kortom, alle reden om even stil te staan bij de BIO.
Maar 2: ‘Er verandert maar heel weinig!’
Ja en Nee! Ja, omdat in werkelijkheid het oude normenkaders en de BIO niet veel van elkaar verschillen voor zover het gaat om de gehanteerde controls. Nee, omdat er verschil zit in de aanpak en de vrijheid die je als organisatie hebt op het gebied van de selectie van maatregelen om de controls voor je te laten werken. Dit komt doordat de BIO is gebaseerd op de meest actuele versie van de NEN-ISO 27001 en 27002. Daarnaast geeft de BIO meer ruimte voor het nemen van passende maatregelen op basis van een risico gebaseerde benadering. Het grootste verschil tussen de BIO en huidige normenkaders zit voornamelijk in de hoeveelheid maatregelen. Verder heeft de BIO verschillende niveaus van beveiligen op basis van een te beschermen belang. De BIO kent 3 niveaus van beveiligen (Basisbeveiligingsniveau’s, ofwel BBN’s) op basis van het onderkende te beschermen belang. Er verandert dus wel degelijk fundamenteel iets.
Maar 3: ‘Ik heb toch nog een paar maanden de tijd!’
Ja, maar is dat genoeg? Het hangt natuurlijk van het huidige volwassenheidsniveau af van de organisatie hoeveel werk de implementatie van de BIO feitelijke gaat kosten. In het algemeen geldt natuurlijk wel dat, als je niet weet welke wijzigingen er precies op je af komen, je ook niet kan weten hoeveel tijd het je gaat kosten. Je zult dus inzichtelijk moeten maken wat je nog moet doen. Hoeveel tijd denk je bijvoorbeeld kwijt te zijn aan de volgende activiteiten:
- Het uitvoeren van de BBN toets;
- Het aan laten sluiten van de huidige risicoanalyses op de BIO;
- Het huidige basisbeveiligingsniveau (BBN) van je systemen en/of processen in beeld brengen;
- Het bepalen van maatregelen die genomen moeten worden om het belang adequaat te beschermen;
- Het inzichtelijk maken in hoeverre de organisatie de controls en maatregelen al heeft geïmplementeerd;
- Het implementeren van de verplichte maatregelen;
- Het bepalen van de rollen, taken en verantwoordelijkheden rondom de implementatie en het beheer van de BIO;
- Het rapporteren over de status van het beveiligingsniveau van de organisatie.
Zomaar wat activiteiten die capaciteit en tijd vragen om ze goed uit te voeren. Dit zou dan allemaal moeten gebeuren vóór 1 januari 2020, dus nog een paar maandjes heb je de tijd om dit te realiseren.
En zo zijn er nog wel meer mitsen en maren te bedenken, maar ga gewoon aan de slag. Creëer inzicht en zorg dat je hebt ingeschat wat de impact van de BIO is op jouw organisatie. Vandaar uit kun je dan concreet en risico gebaseerd aan de slag met de BIO. Geeft toch even een comfortabel gevoel.
Geïnteresseerd in hoe wij u kunnen helpen met de BIO? Neem dan contact met ons op!