Wat is de Baseline Informatiebeveiliging Overheid?

De Baseline Informatiebeveiliging Overheid is het verplichte normenkader voor informatiebeveiliging bij het Rijk, gemeenten, provincies en waterschappen. Het kader beschrijft welke maatregelen een overheidsorganisatie moet nemen om informatie en systemen te beveiligen. De opvolger, de BIO2, sluit aan op de internationale normen voor informatiebeveiliging, NEN-EN-ISO/IEC 27001:2023 en 27002:2022, en hanteert een meer risicogerichte aanpak dan de eerdere indeling in drie basisbeveiligingsniveaus. Voor gemeenten blijft de BIO 1.04 formeel gelden als verplichte zelfregulering totdat de Cyberbeveiligingswet in werking treedt.

Toegangsbeheer, oftewel identity en accessmanagement, is binnen die baseline een vast en zwaarwegend onderdeel. De gedachte is simpel: wie geen toegang nodig heeft, hoort die ook niet te hebben, en elke toegang die wel bestaat moet herleidbaar en verantwoord zijn.

Welke eisen stelt de baseline aan toegang van medewerkers?

De baseline vertaalt zich in de praktijk naar een aantal concrete principes voor het beheer van medewerkers. Toegang wordt verleend op basis van de rol of functie, niet per individu, zodat duidelijk is waarom iemand bepaalde rechten heeft. Die rechten blijven beperkt tot wat de functie vereist, het principe van least privilege. Toegang wordt formeel toegekend en weer ingetrokken volgens een vastgelegd proces, en het management beoordeelt periodiek of de feitelijke toegang nog klopt met de bedoelde toegang. Onjuiste of overbodige rechten worden daarbij direct verwijderd.

Daarnaast vraagt de baseline dat handelingen worden vastgelegd. Wie kreeg wanneer welke toegang, en wie trok die weer in, moet achteraf te reconstrueren zijn. Die logging is niet alleen nodig voor incidentonderzoek, maar ook voor de jaarlijkse verantwoording via ENSIA en straks voor het toezicht onder de Cyberbeveiligingswet.

Hoe automatiseer je deze eisen in de praktijk?

Handmatig voldoen aan deze eisen is bij een overheidsorganisatie lastig, omdat er veel afdelingen, applicaties en ingehuurde krachten zijn en de instroom en uitstroom doorlopen. De praktische oplossing is om het personeelssysteem de bron van waarheid te maken en een orchestratielaag die gegevens te laten vertalen naar accounts en rechten in Microsoft Entra ID of Google Workspace.

Joinly van KoppelHet werkt als zo'n laag: de stroom loopt van bron, het personeelssysteem, via de orchestratielaag naar de werkomgeving. Een nieuwe medewerker krijgt automatisch de rechten die bij de rol horen, een functiewijziging leidt automatisch tot de juiste aanpassing, en bij vertrek wordt de toegang direct ingetrokken. Omdat alles op rollen is gebaseerd en elke wijziging wordt gelogd, sluit deze werkwijze rechtstreeks aan op wat de baseline vraagt: rolgebaseerde toegang, least privilege en aantoonbaarheid. Dit betreft uitsluitend medewerkers; identiteiten van burgers in de dienstverlening vallen buiten deze opzet.

Veelgestelde vragen

Geldt de BIO voor alle gemeenten? Ja. De Baseline Informatiebeveiliging Overheid geldt voor het Rijk, gemeenten, provincies en waterschappen. Voor gemeenten geldt de BIO 1.04 formeel tot de Cyberbeveiligingswet in werking treedt; de overgang naar de BIO2 loopt.

Wat is het verschil tussen de BIO en ISO 27001? De BIO2 is gebaseerd op ISO 27001:2023 en ISO 27002:2022 en sluit daar inhoudelijk sterk op aan. Voor veel organisaties is ISO 27001 een praktische basis om de BIO2 in te richten.

Helpt automatisering ook bij de ENSIA-verantwoording? Ja. Doordat het toekennen, wijzigen en intrekken van toegang automatisch wordt gelogd, is toegangsbeheer eenvoudiger te onderbouwen in de jaarlijkse zelfevaluatie.