Informatiebeveiliging

BIO

BIO staat voor Baseline Informatiebeveiliging Overheid. Het is het normenkader waaraan alle Nederlandse overheidsorganisaties moeten voldoen: rijk, provincies, gemeenten en waterschappen. Sinds 2025 geldt de nieuwe versie BIO 2.0, gebaseerd op ISO 27001:2022 en ISO 27002:2022. Een wezenlijke vernieuwing, geen kosmetische update.

Aan de slag met de overgang naar BIO 2.0? Normity ondersteunt de volledige BIO 2-implementatie inclusief de nieuwe risicogebaseerde aanpak en de mapping naar de 93 maatregelen uit ISO 27002:2022. En klaar voor ENSIA als je gemeente bent.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity en BIO

Normity helpt je eenvoudig op weg met de BIO. Vanzelfsprekend ondersteunt onze software alles wat je nodig hebt: van normenkaders, dreigingsmodellen, risicoanalyse en documentatie tot het vastleggen van jouw organisatie, het beheren van assets en het plannen van activiteiten. En nog veel meer. Niet voor niets staan wij voor grip op kwaliteit. Daarnaast staan onze adviseurs jou graag bij met hun expertise. Bijvoorbeeld bij het uitvoeren van een nulmeting of interne audit. Wij horen graag van je!

Informatiebeveiliging

De BIO is sinds 2020 het verplichte normenkader voor informatiebeveiliging bij de Nederlandse overheid. Het verving destijds de versnipperde kaders BIR (Rijk), BIG (Gemeenten), BIWA (Waterschappen) en IBI (Provincies) door één samenhangend kader. In 2025 is de BIO grondig herzien: BIO 2.0 is daarmee de nieuwe norm waar de Nederlandse overheid aan moet voldoen.

Wat verandert er met BIO 2.0 ten opzichte van BIO 1.04?

  • Nieuwe basis — BIO 2 is gebaseerd op ISO 27001:2022 en ISO 27002:2022. Daarmee verandert de structuur volledig: van 14 domeinen naar 4 thema's (organisatorisch, mensen, fysiek, technologisch) en van 114 naar 93 maatregelen.
  • Risicogebaseerde aanpak — BIO 2 zet veel sterker in op risicomanagement. Niet meer alle maatregelen klakkeloos toepassen, maar onderbouwd kiezen op basis van je risicoanalyse.
  • BBN-systematiek vervangen — de oude basisbeveiligingsniveaus (BBN-1, 2, 3) zijn vervangen door een meer flexibele aanpak waarin je je maatregelen afstemt op je risicoprofiel.
  • Aansluiting bij NIS2 — BIO 2 anticipeert op de Europese NIS2-richtlijn. Veel overheidsorganisaties vallen onder beide kaders, en BIO 2 maakt de overlap zichtbaar.
  • Heldere onderscheid in eisen — BIO 2 maakt een explicieter onderscheid tussen wat verplicht is en wat aanbevolen.

Voor overheidsorganisaties die nog op BIO 1.04 zitten, betekent dit een transitietraject. Veel bestaande inrichting blijft bruikbaar, maar je moet wel een nieuwe risicoanalyse doen, je Statement of Applicability opnieuw opbouwen en je beheersmaatregelen mappen naar de nieuwe structuur. Geen klein klusje, dus tijdig beginnen is verstandig.

Voor gemeenten blijft BIO bovendien gekoppeld aan ENSIA: de eenduidige verantwoording over informatieveiligheid die jaarlijks aan de gemeenteraad en aan toezichthouders wordt afgelegd. ENSIA volgt de transitie naar BIO 2 mee, dus ook daar verandert het verantwoordingsproces. In Normity zit de complete BIO 2.0 al ingebouwd, inclusief de mapping naar ISO 27002:2022 en de koppeling met ENSIA-vragenlijsten.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

Van nulmeting naar resultaat

Een nulmeting maakt zichtbaar waar je organisatie nu staat — het vertrekpunt dat je nodig hebt om verbetering te kunnen meten. Vooral bij een nieuw managementsysteem of een certificeringstraject is dat waardevol, maar soms ook overbodig. In dit artikel lees je wanneer een nulmeting zinvol is en hoe je 'm aanpakt.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

RAVIB inzetten bij de risicoanalyse

RAVIB is een dreigingsmodel dat je gestructureerd door een risicoanalyse voor informatiebeveiliging loodst, met standaarddreigingen die nauw aansluiten bij ISO 27002 en de BIO. In dit artikel laten we zien hoe je het model inzet, welke stappen je zet van dreiging naar maatregel en wat de voordelen zijn.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Waarom heb je een KMS nodig?

Een kwaliteitsmanagementsysteem (KMS) is een structurele manier om kwaliteit in je organisatie te borgen, meten en verbeteren — via processen, documentatie, audits en de PDCA-cyclus. Waarom heb je er een nodig en wat levert het op? In dit artikel bespreken we het nut en de noodzaak van kwaliteitsmanagement.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

De top 10 Wpg begrippen

Wie met de Wet politiegegevens (Wpg) aan de slag gaat, komt al snel termen tegen als betrokkene, grondslag, bewaartermijn, verwerkingsregister en noodzakelijkheid. In dit artikel zetten we de tien belangrijkste Wpg-begrippen op een rij, elk met een heldere toelichting — handig als referentie tijdens implementatie of audit.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

4-O-systematiek

De 4-O-systematiek is een methodiek om afwijkingen structureel aan te pakken op basis van vier O's: Oorzaak, Omvang, Oplossing en Operationaliteit. Je analyseert niet alleen wat er misging, maar ook hoe breed het probleem is en of je oplossing écht werkt. In dit artikel leggen we de aanpak uit.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Leverancierbeoordeling (3/3) - Resultaten

Met de resultaten van je leveranciersbeoordelingen in handen komt de lastigste stap: wat doe je ermee? Welke regels hanteer je voor promoveren, handhaven of diskwalificeren van leveranciers? Dit is deel 3 van drie en gaat over het eerlijk en consequent verwerken van beoordelingsresultaten binnen je managementsysteem.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Leverancierbeoordeling (2/3) - Bemensing, criteria en momenten

Nadat je leveranciers hebt geselecteerd volgt de volgende stap: wie voert de beoordeling uit, welke criteria gebruik je en op welke momenten? De keuze van beoordelaars en meetpunten bepaalt of je een objectief beeld krijgt of niet. Dit is deel 2 van drie over leveranciersbeoordelingen in de praktijk.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Leverancierbeoordeling (1/3) - Selecteren en plannen

Een leveranciersbeoordeling begint bij de selectie: welke leveranciers wil je beoordelen en hoe plan je dat zonder de organisatie te overbelasten? Niet alle leveranciers verdienen dezelfde aandacht, dus scherp je keuze af op basis van risico en impact. Dit is deel 1 van drie over leveranciersbeoordelingen in de praktijk.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Support toegang

Normity is privacy by design: standaard heeft ons supportteam geen toegang tot jouw klantomgeving. Pas als je zelf tijdelijk toegang verleent kunnen wij meekijken, en elke handeling wordt gelogd. In dit artikel leggen we uit hoe support-toegang werkt, hoe je die weer intrekt en waarom we deze keuze bewust maken.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over BIO

De vragen die we het vaakst krijgen over BIO, met korte en feitelijke antwoorden.

De BIO (Baseline Informatiebeveiliging Overheid) is het verplichte normenkader voor informatiebeveiliging bij de Nederlandse overheid. De huidige versie is BIO 2.0, van kracht sinds 2025 en gebaseerd op ISO 27001:2022 en ISO 27002:2022. De BIO geldt voor Rijk, gemeenten, provincies en waterschappen en vervangt de oude BIR, BIG, IBI en IBWA.

De BIO is verplicht voor alle Nederlandse overheidsorganisaties: Rijksoverheid (departementen, agentschappen), gemeenten, provincies, waterschappen en de meeste zelfstandige bestuursorganen. Ook samenwerkingsverbanden en gemeenschappelijke regelingen passen de BIO toe. Voor leveranciers aan de overheid is BIO-compliance meestal een contractuele eis.

BIO 1 (2020) was gebaseerd op ISO 27001:2013 en ISO 27002:2013. BIO 2.0 (2025) is gebaseerd op de vernieuwde ISO 27001:2022 met 93 controls in vier thema's (organisatorisch, mensen, fysiek, technologisch). BIO 2.0 is eenvoudiger gestructureerd, houdt de beschermingsniveaus BBN1 en BBN2 aan en versterkt de relatie met Europese wetgeving zoals NIS2.

ISO 27001 is internationaal en vrijwillig. De BIO is Nederlands en verplicht voor de overheid. Inhoudelijk overlapt de BIO sterk met ISO 27001 en ISO 27002, maar voegt overheidsspecifieke eisen toe: informatieclassificatie, BSN-gebruik, cloudgebruik, GGI-netwerk en eisen vanuit de Archiefwet.

De BIO onderscheidt beschermingsniveaus. BBN1 (basisniveau) geldt voor algemene overheidsinformatie en implementeert de standaardmaatregelen uit de BIO. BBN2 en hoger gelden voor gerubriceerde of bijzonder gevoelige informatie en vereisen zwaardere maatregelen rondom cryptografie, toegangscontrole, monitoring en fysieke beveiliging.

Nee — de BIO is verplicht, maar externe certificering niet. Overheden leggen verantwoording af via jaarlijkse In-controlverklaringen, ENSIA-audits (gemeenten, waterschappen) of IBW-audits (Rijk). Leveranciers aan de overheid laten zich in de praktijk wel vaak certificeren voor ISO 27001 én tonen BIO-compliance aan in aanbestedingen.

NIS2 is Europese wetgeving voor informatiebeveiliging in kritieke sectoren. De BIO 2.0 bevat grotendeels dezelfde controls als NIS2 vereist. Voor overheden die onder NIS2 vallen (drinkwaterbedrijven, energie, bepaalde zorginstellingen) is BIO-compliance een sterke basis voor NIS2-naleving, met beperkte aanvullende maatregelen.

ENSIA (Eenduidige Normatiek Single Information Audit) is de jaarlijkse verantwoordingscyclus voor gemeenten en waterschappen over informatiebeveiliging en privacy. Via ENSIA rapporteert een organisatie over BIO-naleving, AVG en specifieke informatiestromen (DigiD, BAG, BRP, Suwi). De uitkomst wordt extern beoordeeld door een IT-auditor.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management