Op 1 januari 2020 wordt de BIO van kracht, het normenkader voor de hele overheid als het gaat om informatiebeveiliging. Cruciaal in de BIO is dat de verantwoordelijkheid voor een veilige informatievoorziening wordt belegd bij lijnmanagers (afdelingshoofden). "Daar zit een uitdaging. Zij leiden een afdeling en zijn daarbij nog niet echt gewend om te sturen op informatieprocessen en -systemen, laat staan de beveiliging daarvan. Dat was altijd van het hoofd ICT."

Door: Frits de Jong

Als er één 'bedrijfstak' is waar afkortingen gemeengoed zijn, dan is het wel de overheid. BAG, BGT, BIG, BIT, BID, BIR, BIWA, IBD, ISO, IBI, et cetera. Bij de overheid krijgen ze maar geen genoeg van al die afkortingen. Eén van de jongste loten aan de ent is BIO, een afkorting die staat voor Baseline Informatiebeveiliging Overheid. De BIO, die op 1 januari 2020 officieel van kracht wordt, is het normenkader informatiebeveiliging voor de hele overheid en vervangt daarmee de afzonderlijke normenkaders van gemeenten, provincies, waterschappen en Rijk. Alle overheden werken vanaf 2020 met één gemeenschappelijke norm, waarmee het streven naar één overheid steeds meer gestalte krijgt. Zeker op het gebied van informatiebeveiliging.

Nauw betrokken bij de opzet van de BIO is Kees Hintzbergen, sinds 2012 werkzaam bij de Informatiebeveiligingsdienst (IBD), onderdeel van VNG Realisatie. Samen met zijn broer Jule stond hij aan de basis van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten), die in 2013 het levenslicht zag. "Destijds hebben we al gezegd dat het jammer was dat er voor alle overheden een verschillende baseline was en dat het goed zou zijn dat er iets zou komen dat voor de gehele overheid zou gelden. Een eerste verkenning daartoe is gedaan door de Taskforce BID (Taskforce Bestuur en Informatieveiligheid Dienstverlening). In 2015 zijn we met alle overheidskoepels rond de tafel gaan zitten en daaruit is een brede werkgroep 'normatiek' ontstaan, met daaronder een aantal subgroepjes. Een van de eerste taken van die werkgroep was een gezamenlijke richting voor de gehele overheid te zoeken, waarbij onder meer gekeken is in welke mate de norm op de ISO-norm moest gaan lijken en welke ISO-norm dat dan moest worden. Uiteindelijk kwamen we uit bij de NEN/ISO 27002:2017. Daarop is de BIO gebaseerd."

Verschillen

Als het gaat om informatiebeveiliging zijn de ISO en de BIO in grote lijnen gelijk. "De ISO is organisatie- en techniekonafhankelijk. Dat maakt dat de norm breed toepasbaar is en wereldwijd gebruikt wordt. De norm bestaat uit controls en een control moet je zien als een doelstelling. Zo'n doelstelling is bijvoorbeeld dat er beleid moet zijn ten aanzien van informatiebeveiliging. In dat beleid moet een aantal maatregelen staan. Tot zover is er geen verschil tussen de ISO en de BIO. Een verschil is wel dat de BIO veel specifieker is en exact zegt wat je moet doen in het kader van de informatiebeveiliging bij de overheid. De ISO-norm laat dat meer open."

Verschillen heeft de BIO ook in relatie tot bestaande normenkaders, zoals de BIR (Rijk), de BIG (gemeenten), de BIWA (waterschappen) en de IBI (provincies). Hintzbergen: "In die afzondelijke normenkaders staan circa driehonderd maatregelen. Dat betekent dat iedereen voortdurend bezig is met het managen van die maatregelen en minder bezig is met het inrichten van het proces van risicomanagement. In de BIG is er bijvoorbeeld een control die zegt dat er een toegangsdeur moet zijn voor de computerruimte en aangevuld met een aantal maatregelen over bijvoorbeeld de dikte, hoogte, sloten, technische eisen en noem maar op. In de BIO staat dan alleen dat er een deur moet zijn. Punt. Het is dan overigens wel zaak dat de verantwoordelijke voor de deur passende maatregelen neemt om die deur goed te beveiligen, maar de keuze voor maatregelen is vrij. Dat wil zeggen dat het niveau van bescherming ook op andere manieren bereikt kan worden, maar die keuze is aan de lijnmanager op basis van een risicoafweging."

Lijnmanager

Een belangrijk aspect van de BIO is dat de verantwoordelijkheid veel meer komt te liggen bij die lijnmanager. Die zal vaker dan voorheen zelf beslissingen moeten nemen. Een en ander heeft (of kan) ook gevolgen hebben voor de verhouding tussen de lijnmanager (veelal de proceseigenaar) en de CISO (Chief Information Security Officer). Dat ziet ook Kees Hintzbergen. "Bij gemeenten wordt de BIG in de meeste gevallen uitgevoerd door de CISO en staat die CISO zelf ook met de voeten in de klei. Maar dat is zijn of haar taak niet. De CISO is adviseur van het management en moet ervoor zorgen dat anderen optimaal in staat zijn om risicomanagement uit te voeren in het kader van informatieveiligheid. Die rol is in de BIO veel steviger neergelegd. Het is de proceseigenaar die nu aan zet is. Daar zit best nog wel een uitdaging. Het gros van die lijnmanagers heeft er nooit echt bewust bij stilgestaan dat in processen ook informatie meegenomen wordt. Laat staan dat zij nagedacht hebben over hoe die informatie te beveiligen. Een belangrijke taak is de komende jaren dan ook om, met behulp van de BIO, de lijnmanager te gaan overtuigen van nut en noodzaak van informatiebeveiliging en te helpen bij het inrichten daarvan. Dat kan door het uitvoeren van risicomanagement, ten behoeve en op basis van het bedrijfsbelang van het proces."

"De lijnmanager is nu aan zet!"

Het overtuigen wordt vergemakkelijkt doordat in de BIO ook een kolom opgenomen is over wie er over het algemeen eindverantwoordelijk zou moeten zijn voor een bepaalde control of maatregel. "Dit is op hoofdlijnen, omdat we met het schrijven van de BIO niet kunnen weten op welke wijze voor/aan de PIOFAH-actoren (Personeel; Inkoop (soms informatievoorziening); Organisatie; Financiën; Automatisering/Administratie; Huisvesting) rollen en verantwoordelijkheden belegd zijn. Dit houdt in dat in de meeste gevallen de gemeentesecretaris eindverantwoordelijk is, maar dat hij/zij de uitvoering ook elders kan beleggen. Het is belangrijk dat ieder bedrijfsmiddel een eigenaar heeft. Dat geldt ook voor processen, hardware en software, want als er niemand van is worden er mogelijk ook geen passende maatregelen genomen om deze adequaat te beschermen. Iedere computer en ieder softwarepakket heeft zijn zwakheden en als je niet weet welk apparaat of pakket je in huis hebt, kun je op voorhand ook niet de juiste maatregelen nemen ze te beschermen."

Verplichte standaard

Hoewel de BIO officieel op 1 januari 2020 pas van kracht wordt, wordt het officieuze startsein al op 1 januari 2019 gegeven. "Er is sprake van een overgangsjaar." Kees Hintzbergen verwacht geen al te onoverkomenlijke problemen bij de invoering van de BIO. "In 2013 moesten gemeenten nog worden verleid om de BIG te adopteren. Vandaag de dag is de BIO een verplichte standaard en heeft iedere gemeente een CISO die de eigen organisatie hierover kan adviseren. Dat scheelt enorm."