Compliance

Baseline Informatiebeveiliging Overheid (BIO): wat is het en voor wie geldt het?

De Baseline Informatiebeveiliging Overheid (BIO) is het normenkader voor informatiebeveiliging bij het Rijk, gemeenten, provincies en waterschappen, gebouwd op ISO/IEC 27001 en 27002. Met de Cyberbeveiligingswet wordt BIO2 wettelijk verplicht voor elke overheidsorganisatie.

De BIO zorgt voor één gezamenlijk basisniveau van informatiebeveiliging bij het Rijk, gemeenten, provincies en waterschappen. Risicomanagement staat centraal: organisaties bepalen op basis van risico’s welke maatregelen ze treffen, bovenop de verplichte overheidsmaatregelen.

De actuele versie is BIO2, sinds versie 1.3 gepubliceerd in de Staatscourant op 5 maart 2026 (bio-overheid.nl, 2026). Met de inwerkingtreding van de Cyberbeveiligingswet wordt de BIO2 wettelijk verplicht voor overheidsorganisaties.

De norm geldt voor alle overheidslagen, en raakt via aanbestedingen en contracten ook de IT-leveranciers en ketenpartners die voor de overheid werken.

BIO2 verschilt op een belangrijk punt van de oude BIO: de drie basisbeveiligingsniveaus (BBN’s) zijn losgelaten ten gunste van een risicogerichte benadering, afgestemd op ISO/IEC 27002:2022 (Digitale Overheid, 2026).

Begin daarom met een nulmeting tegen ISO 27001 en de BIO2-overheidsmaatregelen, zodat je weet welke maatregelen al staan en welke nog ontbreken.

Wat is de BIO?

De Baseline Informatiebeveiliging Overheid is het basisnormenkader voor informatiebeveiliging binnen alle Nederlandse overheidslagen. De BIO legt een gezamenlijk minimumniveau vast, zodat het Rijk, gemeenten, provincies en waterschappen volgens dezelfde standaard werken en veilig informatie kunnen uitwisselen.

De norm is gebaseerd op ISO/IEC 27001 en 27002, de internationale standaarden voor informatiebeveiliging. ISO 27001 levert de eisen voor het managementsysteem (ISMS); de BIO voegt daar verplichte overheidsmaatregelen aan toe die specifiek zijn voor de publieke sector (Digitale Overheid, 2026).

De BIO is in 2019 ingevoerd en verving toen de losse baselines voor gemeenten (BIG), Rijk, waterschappen en provincies. Het kernidee was één baseline voor de hele overheid, met meer nadruk op risicomanagement dan de oude, maatregelgerichte baselines (IBD, 2024).

De norm beschermt de drie principes van informatiebeveiliging, in het Nederlands de BIV-driehoek: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Internationaal heet dezelfde driehoek de CIA-driehoek.

Wat is het verschil tussen de BIO en de BIO2?

Het verschil tussen de BIO en de BIO2 is dat BIO2 de risicogerichte opvolger is van de oude, niveaugerichte BIO. BIO2 is de vernieuwde versie die op 23 september 2025 bestuurlijk is vastgesteld door het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO), met versie 1.3 gepubliceerd in de Staatscourant op 5 maart 2026 (bio-overheid.nl, 2026).

De belangrijkste wijzigingen ten opzichte van de oude BIO 1.04:

  • De BBN’s zijn losgelaten. De oude BIO kende drie basisbeveiligingsniveaus (BBN1, BBN2, BBN3), gekoppeld aan de impact van een incident. BIO2 vervangt die vaste niveaus door een risicogerichte benadering, waarbij de organisatie zelf op basis van risico bepaalt welke maatregelen nodig zijn (Digitale Overheid, 2026).
  • Nieuwe structuur. BIO2 volgt de indeling van ISO/IEC 27002:2022, in lijn met de actuele dreigingen.
  • Wettelijke verankering. BIO2 wordt opgenomen in de ministeriële regeling voor de sector Overheid onder het Cyberbeveiligingsbesluit, als onderdeel van de NIS2-implementatie (bio-overheid.nl, 2026).
  • Sterkere governance. De verantwoordelijkheid van bestuur en management voor risicosturing is explicieter belegd.

Voor wie geldt de BIO?

De BIO geldt voor alle Nederlandse overheidslagen. Concreet:

  • Overheidsorganisaties: het Rijk, gemeenten, provincies en waterschappen. Voor hen is de BIO het verplichte normenkader voor informatiebeveiliging.
  • IT-leveranciers en ketenpartners: bedrijven die software, clouddiensten of IT-beheer leveren aan de overheid. Zij krijgen de BIO-eisen via aanbestedingen en contracten, ook al vallen ze er zelf niet rechtstreeks onder.

Die tweede groep is voor het bedrijfsleven het belangrijkst: een leverancier die aan een gemeente of waterschap levert, moet aantoonbaar aan de relevante BIO-eisen voldoen om de opdracht te behouden. Daarmee werkt de BIO door in de hele keten rond de overheid.

Is de BIO verplicht?

Ja, de BIO is verplicht voor de overheid, en die verplichting wordt met BIO2 wettelijk verankerd. Het zit zo:

  • Altijd al verplicht binnen de overheid. De BIO geldt sinds 2019 voor alle overheidslagen en staat op de pas-toe-of-leg-uit-lijst van verplichte standaarden van het Forum Standaardisatie (bio-overheid.nl, 2025).
  • Met BIO2 wettelijk verankerd. De BIO2 wordt opgenomen in de ministeriële regeling onder het Cyberbeveiligingsbesluit. Met de inwerkingtreding van de Cyberbeveiligingswet wordt de BIO2 daarmee wettelijk verplicht voor overheidsorganisaties die onder die wet vallen (bio-overheid.nl, 2026).
  • Verplichtende zelfregulering voor de rest. Voor overheidsorganisaties die niet onder de Cyberbeveiligingswet vallen, blijft de BIO2 gelden als verplichtende zelfregulering (bio-overheid.nl, 2026).

De BIO verplicht geen ISO 27001-certificaat, maar wel het toepassen van ISO 27001 voor het inrichten van het managementsysteem. Verantwoording loopt via bestaande structuren, voor gemeenten met name via ENSIA.

Hoe werkt de BIO?

De BIO werkt via een managementsysteem voor informatiebeveiliging (ISMS) op basis van ISO 27001, aangevuld met verplichte overheidsmaatregelen. De aanpak op hoofdlijnen:

  • 1. Reikwijdte (scope) bepalen: vastleggen welke bedrijfsprocessen en informatiesystemen kritisch zijn voor de dienstverlening en onder het ISMS vallen.
  • 2. Risicomanagement: de risico’s beoordelen en op basis daarvan bepalen welke beheersmaatregelen nodig zijn, bovenop de verplichte overheidsmaatregelen uit de BIO2.
  • 3. Maatregelen en Verklaring van Toepasselijkheid: de maatregelen inrichten en vastleggen welke van toepassing zijn. Overheden zijn verplicht de reikwijdte en de Verklaring van Toepasselijkheid te publiceren, voor transparantie richting burgers (bio-overheid.nl, 2025).
  • 4. Verantwoording: jaarlijks verantwoording afleggen over de informatiebeveiliging, voor gemeenten via de ENSIA-systematiek.
  • 5. Continu verbeteren: de BIO is geen eenmalig project maar een cyclisch proces dat de organisatie onderhoudt en evalueert.

Belangrijke begrippen uit de BIO

De BIO gebruikt vakbegrippen die in de overheidscontext steeds terugkomen. De acht belangrijkste, kort uitgelegd:

  • BIO2: Baseline Informatiebeveiliging Overheid 2, de actuele versie van het normenkader, gebaseerd op ISO/IEC 27001:2023 en 27002:2022 en wettelijk verankerd via de Cyberbeveiligingswet.
  • BIV-driehoek: de drie principes van informatiebeveiliging in het Nederlands, Beschikbaarheid, Integriteit en Vertrouwelijkheid. De internationale variant heet de CIA-driehoek.
  • BBN: BasisBeveiligingsNiveau, de indeling in drie niveaus (BBN1, BBN2, BBN3) uit de oude BIO, gekoppeld aan de impact van een incident. In BIO2 vervangen door een risicogerichte benadering.
  • ENSIA: Eenduidige Normatiek Single Information Audit, de systematiek waarmee met name gemeenten zich jaarlijks verantwoorden over hun informatiebeveiliging volgens de BIO.
  • ISMS: Information Security Management System, het managementsysteem voor informatiebeveiliging dat de BIO via ISO 27001 verplicht stelt.
  • Verklaring van Toepasselijkheid: het document dat vastlegt welke beheersmaatregelen van toepassing zijn en hoe ze zijn ingericht. Overheden zijn verplicht dit te publiceren.
  • Cyberbeveiligingswet: de Nederlandse wet die de NIS2-richtlijn omzet en waarin de BIO2 via een ministeriële regeling wettelijk wordt verankerd voor de sector Overheid.
  • CIP: Centrum Informatiebeveiliging en Privacybescherming, dat namens het ministerie van BZK de implementatie van de BIO ondersteunt met handreikingen en hulpmiddelen.

Hulpmiddelen voor de BIO

Voor de implementatie van de BIO bestaan vier hulpmiddelen, van licht naar zwaar:

  • BIO-zelfscan: bepaal hoe ver je organisatie is en welke maatregelen nog ontbreken.
  • BIO-checklist: de verplichte overheidsmaatregelen en de ISO 27001-eisen als afvinklijst.
  • Nulmeting (gap-analyse): een meting van je huidige situatie tegen ISO 27001 en de BIO2-maatregelen, met een overzicht van de gaten.
  • Stappenplan: de route van scope tot aantoonbare naleving in vaste fases.

De BIO vergeleken met andere normen en wetten

De BIO staat niet op zichzelf: de norm bouwt voort op ISO 27001 en hangt samen met NIS2, NEN 7510 en de AVG. Eerst de twee grote vergelijkingen, daarna de rest.

BIO vs ISO 27001

Het verschil tussen de BIO en ISO 27001 is dat de BIO het Nederlandse overheidskader is en ISO 27001 de internationale norm waarop het is gebouwd. De BIO gebruikt ISO 27001 verplicht voor het inrichten van het managementsysteem en ISO 27002 voor de beheersmaatregelen, en voegt daar verplichte overheidsmaatregelen aan toe.

Het praktische gevolg: een overheidsorganisatie hoeft geen ISO 27001-certificaat te halen, maar moet wel ISO 27001 toepassen. Waar de BIO niets voorschrijft, vallen organisaties terug op de ISO-documenten voor de details. De BIO is daarmee geen vervanging van ISO 27001, maar een overheidsspecifieke invulling ervan.

BIO vs NIS2

Het verschil tussen de BIO en NIS2 is dat de BIO een normenkader is en NIS2 een wet, maar ze komen samen. De overheid valt onder NIS2, en de BIO2 is de manier waarop de overheidssector invulling geeft aan de NIS2-zorgplicht: de BIO2 wordt via het Cyberbeveiligingsbesluit onderdeel van de NIS2-implementatie (bio-overheid.nl, 2026).

Voor een overheidsorganisatie betekent dit dat het werken volgens BIO2 grotendeels samenvalt met het voldoen aan de NIS2-verplichtingen, inclusief het aantonen van opzet, bestaan en werking van de maatregelen. NIS2 voegt daar de meldplicht en de registratieplicht aan toe.

Andere normen en wetten naast de BIO

NEN 7510: de Nederlandse norm voor informatiebeveiliging in de zorg, net als de BIO gebouwd op ISO 27001. Waar de BIO geldt voor de overheid, geldt NEN 7510 voor de zorgsector; beide zijn nationale invullingen van dezelfde internationale basis.

AVG: de privacywetgeving die passende beveiliging van persoonsgegevens eist. Overheden verwerken veel persoonsgegevens, dus de AVG en de BIO werken samen: de BIO levert de beveiligingsmaatregelen waarmee de overheid aan de beveiligingsplicht van de AVG voldoet.

Zo helpt ClickOn met de BIO

Het grootste deel van de BIO-maatregelen is IT-beheer: toegangsbeheer, monitoring, back-up en recovery, encryptie, logging en incidentrespons, ingericht volgens ISO 27001. Precies het werk dat een managed service provider dagelijks doet, inclusief de bewijsvoering die nodig is voor de verantwoording.

ClickOn richt zich op de IT-leveranciers en ketenpartners die aan de overheid leveren en daardoor zelf aan BIO-eisen moeten voldoen. De Compliance Sprint brengt de technische maatregelen en de bewijsvoering in een vaste periode op orde, tegen een vaste prijs. Met compliant werkplekbeheer (PremiumOn) blijft het daarna werken: Microsoft 365-werkplekken ingericht op de ISO 27001-norm, de basis onder de BIO, voor €148 per werkplek per maand, zonder lock-in. Het beleid, de governance en de verantwoording richting de overheid blijven bij de organisatie zelf; ClickOn levert de technische uitvoering en het bewijs.

Liever het hele vraagstuk uit handen geven? Lees hoe je je voorbereidt op een audit met BIO audit-readiness, of hoe je de BIO uitbesteedt aan een IT-partner.

Lever je aan de overheid en moet je aan de BIO voldoen? Start de Compliance Sprint Bekijk compliant werkplekbeheer

Veelgestelde vragen over de BIO

Is de BIO verplicht?

De BIO is verplicht voor alle Nederlandse overheidsorganisaties. Met de inwerkingtreding van de Cyberbeveiligingswet wordt de BIO2 wettelijk verplicht voor overheidsorganisaties die onder die wet vallen; voor de rest blijft de BIO2 gelden als verplichtende zelfregulering (bio-overheid.nl, 2026).

Voor wie geldt de BIO?

De BIO geldt voor alle overheidslagen: het Rijk, gemeenten, provincies en waterschappen. Daarnaast krijgen IT-leveranciers en ketenpartners die voor de overheid werken met de eisen te maken, omdat overheden de BIO via aanbestedingen en contracten doorgeven.

Wat is het verschil tussen de BIO en de BIO2?

De BIO2 is de opvolger van de BIO 1.04. De belangrijkste wijziging is dat de drie basisbeveiligingsniveaus (BBN’s) zijn losgelaten ten gunste van een risicogerichte benadering. BIO2 volgt de structuur van ISO/IEC 27002:2022 en wordt via de Cyberbeveiligingswet wettelijk verankerd.

Wat is het verschil tussen de BIO en ISO 27001?

De BIO is gebouwd op ISO 27001 en 27002 en voegt daar verplichte overheidsmaatregelen aan toe. ISO 27001 is de internationale, certificeerbare norm; de BIO is het Nederlandse overheidskader dat ISO 27001 als basis gebruikt voor het inrichten van het managementsysteem.

Wat is ENSIA?

ENSIA staat voor Eenduidige Normatiek Single Information Audit: de systematiek waarmee met name gemeenten zich jaarlijks in één keer verantwoorden over hun informatiebeveiliging volgens de BIO, richting de gemeenteraad en de toezichthouders.

Ardo Hoogeveen

Ardo Hoogeveen · Security Officer

Oprichter, algemeen directeur en security officer van ClickOn. Gespecialiseerd in NIS2 en ISO 27001 ICT-compliance voor het MKB. 25+ audits doorstaan met 100% slagingspercentage.

Bekijk profiel