Van NIS2 naar BIO: wat verandert er voor de overheid?

23 mei 2025

Wetgeving

Door: Max Westerouen van Meeteren

In de digitale wereld van vandaag is informatie goud waard. Overheden, gemeenten en publieke instellingen beheren enorme hoeveelheden gevoelige gegevens: van paspoorten tot uitkeringen, en van bouwvergunningen tot zorggegevens. Het is dan ook van groot belang dat die informatie goed beschermd wordt tegen hackers, fouten of uitval van systemen. Daarvoor bestaan al jaren afspraken binnen de overheid, vastgelegd in de zogenoemde BIO: ‘de Baseline Informatiebeveiliging Overheid’.

Maar er komt iets nieuws aan: de Europese NIS2-richtlijn. Deze nieuwe wetgeving stelt strengere eisen aan de beveiliging van netwerken en informatiesystemen. Wat betekent dat voor overheidsorganisaties die nu al BIO-compliant zijn? En waarom is dat relevant voor bestuurders, managers of beleidsmakers, ook als ze niet technisch onderlegd zijn?

In dit artikel zal ik proberen je er doorheen te helpen!

Wat is de BIO?

De BIO is het Nederlandse normenkader voor informatiebeveiliging binnen de overheid. Het legt vast welke maatregelen overheden moeten nemen om hun informatie veilig te houden. Denk aan het instellen van sterke wachtwoorden, het regelmatig maken van back-ups, het beperken van toegang tot vertrouwelijke gegevens, en het trainen van medewerkers in het herkennen van social enginering via onder andere phishing-mails.

De BIO is gebaseerd op internationale normen (zoals ISO 27001) en is sinds 2019 verplicht voor alle overheidslagen. Gemeenten, provincies, ministeries en uitvoeringsorganisaties moeten jaarlijks verantwoording afleggen over hoe zij aan de BIO voldoen, bijvoorbeeld via het ENSIA-rapportagesysteem.

De BIO werkt met een soort ‘basisset’ aan beveiligingsmaatregelen. Deze gelden in principe voor alle overheden en overheidsorganisaties, tenzij een organisatie zelf aantoont waarom bepaalde maatregelen niet nodig zijn. Het is dus een soort minimumbeveiliging.

Wat is NIS2?

NIS2 is een nieuwe Europese richtlijn die in heel Europa moet zorgen voor betere digitale veiligheid van “essentiële diensten”. Denk aan waterbedrijven, ziekenhuizen, vervoersbedrijven, recentelijk werd gesproken over ook de universiteiten; maar denk óók aan de overheid zelf. Nederland werkt op dit moment aan een wet die deze richtlijn omzet in nationale wetgeving, de Cyberveiligheidswet (CBW). De verwachting is dat die wet in 2025 ingaat.

Waar de BIO vooral een richtlijn binnen de overheid is, is NIS2 een échte wet, met bindende verplichtingen. Er komt een toezichthouder die mag handhaven, en in sommige gevallen zelfs boetes mag opleggen als organisaties niet voldoende hun digitale veiligheid op orde hebben.

Wat verandert er precies?

Voor overheden die al netjes de BIO volgen, betekent NIS2 geen volledige omwenteling. Maar er zijn wél duidelijke verschillen en nieuwe accenten. Hieronder zal ik ingaan op de vijf belangrijkste.


  1. Bestuurdersverantwoordelijkheid wordt zwaarder

Onder de BIO ligt de verantwoordelijkheid voor informatiebeveiliging meestal bij de CISO (Chief Information Security Officer), en bij de ambtelijke organisatie. De rol van bestuurders (wethouders, burgemeesters, secretarissen-generaal) blijft vaak beperkt tot het goedkeuren van het (cyber-) veiligheid beleid.

Onder de NIS2 verandert dat. Bestuurders krijgen een expliciete zorgplicht: zij moeten actief toezicht houden op de beveiligingsmaatregelen én zich laten bijscholen over digitale risico’s. In sommige EU landen die de NIS2 al op nationaal niveau hebben geïmplementeerd (zoals voor de deadline van oktober 2024 de bedoeling was…) kunnen bestuurders zelfs persoonlijk aansprakelijk worden gesteld als blijkt dat hun organisatie ernstige nalatigheid heeft gepleegd. In Nederland geldt dat (voorlopig, maar behoudens de exacte tekst van de cbw) niet, maar het laat wel zien: bestuurders kunnen zich niet langer afzijdig houden van cybersecurity.

  1. Incidenten moeten extern gemeld worden

Stel: een gemeente wordt getroffen door een cyberaanval en belangrijke systemen vallen uit. Wat doe je dan?

Onder de BIO moet je zo’n incident intern melden en analyseren. Maar het melden aan een externe instantie,  zoals een CERT (Computer Emergency Response Team) of toezichthouder,  is op dit moment niet verplicht, al wordt het wel aangeraden.

NIS2 verandert dat. Ernstige cyberincidenten moeten binnen 24 uur worden gemeld aan een nationaal meldpunt in de relevante sector of keten. Daarna moet binnen 72 uur een update volgen, en binnen een maand een eindrapport. Zo kunnen andere organisaties gewaarschuwd worden, en kan er nationaal gecoördineerd worden. Voor de overheid zal dit hoogstwaarschijnlijk het Nationaal Cyber Security Centrum (NCSC) zijn.

  1. Meer aandacht voor leveranciers en ketenbeveiliging

Veel overheden besteden ICT-diensten uit aan externe leveranciers. Denk aan hosting, software, printservices of cloudopslag. De BIO eist dat hierover goede afspraken gemaakt worden, bijvoorbeeld in contracten, SLA’s en verwerkingsovereenkomsten als er persoonsgegevens worden uitgewisseld.

NIS2 gaat verder. Organisaties moeten ook in kaart brengen welke risico’s ontstaan door hun leveranciers, én hoe die leveranciers hun beveiliging op orde hebben. Je moet als gemeente bijvoorbeeld weten of je softwareleverancier updates tijdig uitvoert, en je moet kunnen aantonen dat je daar toezicht op houdt. Door bijvoorbeeld als leverancier een ‘in control’ statement af te kunnen geven met welke mitigerende maatregelen je hebt genomen tegen incidenten.

Kortom: je bent ook verantwoordelijk voor de digitale veiligheid van je partners.

  1. Externe controle en handhaving

De BIO kent geen centrale toezichthouder. Toezicht gebeurt meestal via de gemeenteraad of via ministeries. Dat verandert onder NIS2.

Er komt een toezichthouder (in Nederland waarschijnlijk de Rijksinspectie Digitale Infrastructuur) die gaat controleren of overheden voldoen aan de wettelijke beveiligingsverplichtingen. Die inspectie kan vragen stellen, documenten opvragen en als het echt misgaat, maatregelen opleggen. In andere landen, zoals België, zijn boetes zelfs mogelijk voor overheidsinstellingen, maar in de huidige discussie omtrent de CBW is het onduidelijk of Nederland dit ook gaat doen.

Voor Nederlandse overheden betekent dit dat zij zich moeten voorbereiden op extern toezicht, iets wat voorheen niet vanzelfsprekend was.

  1. Minder checklist, meer risicobeoordeling

De BIO werkt met een vaste set beveiligingsmaatregelen: een soort checklist. Die is gebaseerd op veelvoorkomende risico’s en is handig als basis.

NIS2 werkt meer risico-gestuurd. Dat betekent: je kijkt als organisatie zelf welke risico’s voor jóuw dienstverlening het grootst zijn, en je neemt daarop passende maatregelen. Het gaat dus niet om een vaste lijst, maar om bewust keuzes maken op basis van risicoanalyses. Die keuzes moet je ook kunnen uitleggen aan de toezichthouder.

Dit vraagt om meer maatwerk, en ook om meer betrokkenheid van bestuur en directie.

Wat betekent dit voor gemeenten en overheden?

Voor overheden die al serieus werk maken van informatiebeveiliging, is NIS2 vooral een aanscherping en formalisering van bestaande werkwijzen. Maar het betekent wél:

  • Meer verantwoordelijkheid voor bestuur en directie om kennis van informatiebeveiliging en mitigatie te hebben en hier naar te handelen.
  • Verplichte meldingen bij incidenten bij de CERT van de overheid (waarschijnlijk NSCS)
  • Meer aandacht voor leveranciers en ketenrisico’s, en het controleren van de keten op maatregelen die genomen zijn door partners, en eventueel dit in SLA’s vastleggen.
  • Extern toezicht, met mogelijk sancties
  • Meer focus op risico’s en maatwerk in plaats van alleen “de checklist afvinken”

Daarom is het niet alleen voor overheden, maar ook voor organisaties die samenwerken met overheidsinstanties, verstandig om nu al te beginnen met voorbereiden. Dat kan door je BIO-beleid tegen het licht te houden, processen aan te passen, en bestuurders te betrekken bij digitale veiligheid.

Tot slot

Digitale veiligheid is niet alleen een zaak van de IT-afdeling. Het raakt de hele organisatie. Met de komst van NIS2 wordt dat nu ook wettelijk verankerd. Dat is soms spannend, maar vooral noodzakelijk: want onze samenleving is steeds digitaler, en dus steeds kwetsbaarder. Zoals ook in het 2024 AIVD jaarverslag besproken is.

Door nu werk te maken van goede beveiliging, bouwen we aan een overheid die betrouwbaar, weerbaar en toekomstbestendig is.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina

Vorige bericht