TruestateWetgevingBIO

De overheid test techniek. Zelden de mens. Dat is precies het probleem.

De Baseline Informatiebeveiliging Overheid verplicht aantoonbaar risicobeheer — inclusief het menselijke element. Truestate test wat geen systeem test.

Gesprek aanvragen Wat is de BIO?

Achtergrond

Wat is de BIO?

De Baseline Informatiebeveiliging Overheid is het verplichte normenkader voor alle Nederlandse overheidsorganisaties — gemeenten, provincies, waterschappen en rijksoverheid. Het vervangt de eerdere BIG, BIWA en IBI.

De BIO is gebaseerd op ISO 27001/27002 en verplicht organisaties tot een risicogebaseerde aanpak van informatiebeveiliging. Dat betekent: niet alleen technische maatregelen, maar ook aantoonbare beheersing van menselijke en organisatorische risico's.

ENSIA toetst jaarlijks of gemeenten en andere overheden aan de BIO voldoen. De bevindingen worden publiek gemaakt. Reputatie staat op het spel.

600+
Overheidsorganisaties verplicht BIO-compliant
100%
Gemeenten verplicht tot jaarlijkse ENSIA-verantwoording
ISO
BIO is gebaseerd op ISO 27001/27002 — internationale goudstandaard
Publiek
ENSIA-resultaten zijn openbaar — reputatie staat op het spel

Reikwijdte

Voor wie geldt de BIO?

De BIO geldt voor alle overheidslagen in Nederland. Van kleine gemeenten tot grote ministeries — iedereen is verplicht aantoonbaar in control te zijn over informatiebeveiliging.

Gemeenten

Gemeentelijke overheid

Alle 342 Nederlandse gemeenten zijn verplicht BIO-compliant. Jaarlijkse ENSIA-verantwoording is wettelijk vereist en openbaar toegankelijk.

Provincies & Waterschappen

Decentrale overheid

Provincies en waterschappen vallen onder de BIO-verplichting. De beheerde infrastructuur en persoonsgegevens maken menselijk risico extra relevant.

Rijksoverheid

Ministeries & uitvoeringsorganisaties

Rijksdiensten, ZBO's en uitvoeringsorganisaties zoals de Belastingdienst, DUO en RDW zijn allemaal BIO-plichtig.

Verplichtingen

Wat schrijft de BIO voor?

De BIO omvat 12 domeinen op basis van ISO 27002. Meerdere daarvan raken direct het menselijke risico — precies het domein dat Truestate test.

A.6

Organisatie van informatiebeveiliging

Rollen, verantwoordelijkheden en scheiding van taken — inclusief menselijke kwetsbaarheden in de organisatiestructuur.

A.7

Veiligheid van personeel

Screening voor aanstelling, bewustwording, training en disciplinaire maatregelen. Aantoonbaar gedragsbeleid vereist.

A.11

Fysieke beveiliging

Toegangsbeveiliging van gebouwen en systemen. Truestate test of uw fysieke beveiliging standhoudt in de praktijk.

A.12

Beveiliging van bedrijfsvoering

Procedures voor het beheer van IT. Menselijke fouten en afwijkend gedrag als risicofactor.

A.16

Beheer van beveiligingsincidenten

Menselijk gedrag bepaalt of een incident tijdig wordt gesignaleerd of juist verborgen blijft.

Hoe Truestate helpt

Van verplichting naar aantoonbaar bewijs.

De BIO vraagt om meer dan beleidsdocumenten. Auditors willen zien dat u uw maatregelen ook daadwerkelijk test. Truestate levert het bewijs.

SCAN

Dreigingsscan

Gerichte analyse van uw menselijke risicosurface. Directe input voor uw BIO-risicoanalyse op domeinen A.6, A.7 en A.11. Inclusief bevindingsrapport bruikbaar voor ENSIA.

RED

Red Team Operatie

Praktijktest van uw fysieke toegangsbeveiliging, medewerkersbewustzijn en weerbaarheid tegen social engineering. Aantoonbaar bewijs voor uw BIO-audit.

SHIELD

Strategische Retainer

Jaarrond partnerschap met kwartaalscans en continue monitoring. Elk jaar nieuwe testresultaten voor uw ENSIA-verantwoording.

ENSIA & BIO

Uw ENSIA-verantwoording is openbaar. Uw risico's ook?

Overheden die onvoldoende scoren worden publiek zichtbaar — voor burgers, media en politiek. Truestate helpt u de menselijke component aantoonbaar op orde te krijgen voor de volgende audit.

Gesprek aanvragen

Veelgestelde vragen

BIO — de meest gestelde vragen.

Wat is het verschil tussen de BIO en NIS2?

De BIO geldt specifiek voor overheidsorganisaties en is gebaseerd op ISO 27001. NIS2 is Europese wetgeving die bredere sectoren raakt. Overheidsorganisaties kunnen onder beide kaders vallen.

Wat is ENSIA en waarom is het relevant?

ENSIA is het jaarlijkse verantwoordingsstelsel voor gemeenten. Resultaten worden gepubliceerd. Onvoldoende scores zijn zichtbaar voor burgers, media en politiek.

Wat levert een Truestate assessment op voor de BIO?

Een gedocumenteerd testrapport met bevindingen op de relevante BIO-domeinen. Direct bruikbaar als bewijs voor uw ENSIA-verantwoording en interne auditcyclus.

Is een fysieke penetratietest toegestaan bij overheidsgebouwen?

Ja, mits juridisch geborgd. Truestate werkt altijd met een Letter of Authorization (LOA) en opdrachtovereenkomst — standaard voor elke opdracht.

Hoe vaak moet de BIO worden getoetst?

ENSIA-verantwoording is jaarlijks verplicht. Truestate's SHIELD retainer zorgt voor continue monitoring en elk jaar nieuwe testresultaten.

Werkt Truestate ook met kleinere gemeenten?

Ja. Wij passen scope en doorlooptijd aan op de omvang van uw organisatie. Een gerichte SCAN is ook voor kleinere gemeenten haalbaar en zinvol.

Contact

Klaar om uw BIO-compliance aan te tonen?

Vertrouwelijk gesprek. Geen verplichtingen. Wij vertellen u eerlijk wat wij voor uw organisatie kunnen betekenen.

contact@truestate.nl

truestate.nl