De uitdaging voor 2019: van BIG naar BIO
Per 1 januari 2020 dienen gemeenten te zijn overgestapt van de Baseline informatiebeveiliging gemeenten ( BIG) naar de Baseline informatiebeveiliging overheid ( BIO). Hetzelfde geldt voor het rijk (BIR), waterschappen (BIWA) en provincies (IBI), die ook overstappen op de BIO. Waar de BIG een onderlinge afspraak was tussen gemeenten, is de BIO tot standaard verklaard door de Vereniging Nederlandse Gemeenten (VNG) en is daarmee verplicht. 2019 is een transitiejaar waarin gemeenten de tijd hebben de maatregelen die zij reeds vanuit de BIG hebben geïmplementeerd te vertalen naar de BIO. In dit artikel gaan we in op de belangrijkste verschillen tussen de normenkaders en wat dit voor gemeenten betekent.
Maatregelen
De omschakeling van BIG naar BIO maakt bepaalde dingen eenvoudiger, maar andere dingen worden wellicht iets ingewikkelder. Zo kent de BIG een veel groter aantal maatregelen dan de BIO. Aan de andere kant kent de BIG slechts één niveau van beveiligen. Met de komst van de BIO worden dat drie basisbeveiligingsniveaus op basis van risicomanagement: BBN1, BBN2 en BBN3. BBN2 wordt hierin gezien als uitgangspunt voor alle informatiesystemen. Dit betekent dat gemeenten een risicoclassificatie zullen moeten uitvoeren op alle BIO maatregelen, en natuurlijk passende beveiligingsmaatregelen moeten implementeren.
ENSIA
Wanneer de gemeente al aan de slag is gegaan met de BIG kan dit natuurlijk dienen als basis voor de omschakeling naar de BIO. De VNG heeft documenten beschikbaar gesteld die hierbij hulp kunnen bieden. 2019 is het jaar waarin gemeenten deze omschakeling moeten maken, en met nog ruim vijf maanden te gaan begint te tijd te dringen. Per 1 januari zal de BIO worden opgenomen in de ENSIA-audits. Ook de Autoriteit Persoonsgegevens (AP) zal de BIO gaan gebruiken als maatstaf voor goede informatiebeveiliging, een belangrijk hoofdstuk van de AVG.
Eén antwoord
Van BIG naar BIO, ENSIA audits en ook nog AVG. Dat klinkt als vier losse problemen met vier losse antwoorden. Het kan echter ook makkelijk: alles centraal gekoppeld in één framework: het Compliance Management Framework. Met sjablonen voor de BIG en de BIO krijgt u snel inzicht in de ontbrekende stukjes BIO-compliance. Met een format voor ENSIA audits en handige bewijsvoering tools hoeft u alleen nog te ‘knippen-plakken’ om uw ENSIA audittool in te vullen. Als klap op de vuurpijl bevat het framework ook de AVG-module, gelinkt aan uw informatiebeveiligingsbeleid én een tool voor risicoanalyse. Bekijk processen, procesverantwoordelijken, houdt deze ook verantwoordelijk en houdt toezicht op uw compliance.
Lees hier meer over het Compliance Management Framework, of neem direct contact op!