Overheidsorganisaties hebben hun informatiebeveiliging meestal ingericht volgens de Baseline Informatiebeveiliging Overheid (BIO). Met de komst van NIS2 ontstaat de vraag: is BIO afdoende of moet er aanvullend werk gebeuren? Het korte antwoord: BIO dekt een groot deel, maar NIS2 voegt specifieke punten toe die expliciet ingericht moeten worden.
Wat BIO al dekt voor NIS2
De BIO is gebouwd op ISO 27001 en NEN 7510 en dekt risicomanagement, toegangsbeheer, cryptografie, awareness en het overgrote deel van de technische maatregelen die ook in NIS2 staan. Voor organisaties die de BIO daadwerkelijk geïmplementeerd hebben (niet alleen op papier), is een aanzienlijk deel van NIS2 al ingericht.
Waar NIS2 verder gaat dan BIO
Bestuurdersaansprakelijkheid is in BIO niet expliciet als persoonlijke positie van de bestuurder uitgewerkt. De NIS2 meldplicht in drie stappen heeft strakkere termijnen dan veel overheidsmeldprocedures. Supply chain veiligheid is in BIO lichter uitgewerkt dan NIS2 vraagt. En voor digitale dienstverlening richting burgers gelden onder NIS2 aanvullende verplichtingen die voor decentrale overheden vooral relevant zijn.
Hoe wij werken
Een NIS2 specialist met overheidservaring brengt uw BIO implementatie in kaart en levert een gerichte gap analyse op de NIS2 specifieke punten. Daarna een uitvoeringsplan dat in de bestaande ENSIA cyclus past zodat u niet dubbel werk doet.
Plan een eerste gesprek via het formulier hieronder. Verwant: NIS2 voor overheid, NIS2 voor gemeenten en provincies.
Verwant: Onafhankelijke NIS2 consultant, NIS2 voor mkb: pragmatische aanpak voor middelgrote organisaties.