BIO 2 is er: is jouw beveiligingsproces nog op orde?

Van statisch naar dynamisch 

BIO 2 sluit beter aan op de risico’s en manier van werken van nu. De norm is aangescherpt met nieuwe eisen voor onder andere verantwoordelijkheden, cloudgebruik en het actueel houden van risico’s. BIO 2 is gebaseerd op de laatste versies van de ISO 27001/27002, en is nu ook juridisch gekoppeld aan de komende Cyberbeveiligingswet (Cbw) die de NIS2‑richtlijn implementeert. Hiermee verandert de BIO 2 van een statische benadering naar een dynamisch, risico gestuurd stelstel. 

Wat zijn de belangrijkste wijzigingen? 

De belangrijkste wijzigingen zijn: 

• Het bestuur moet actief sturen, bijvoorbeeld door risico’s en maatregelen regelmatig te bespreken. Ook een basis kennisniveau is verplicht.
• De drie basisbeveiligingsniveaus zijn losgelaten, in plaats daarvan ligt de focus op het bepalen van maatregelen op basis van specifieke risico's. 
• Cloudgebruik moet aantoonbaar veilig zijn, inclusief afspraken met de leverancier. 
• Risicobeoordelingen, leveranciersafspraken en beveiligingsmaatregelen moeten periodiek worden geactualiseerd, zodat veranderingen in systemen, processen of dreigingen direct worden meegenomen. 

BIO 2 laten landen in de organisatie 

Het implementeren van BIO 2 gaat verder dan het aanpassen van documenten of het doorvoeren van losse maatregelen. De kracht van deze norm zit juist in hoe goed deze in de dagelijkse praktijk wordt toegepast. Dat maakt dit een logisch moment om te kijken of het BIO‑proces écht leeft binnen de organisatie. Zijn de rollen duidelijk? Worden risico’s regelmatig besproken? En komen maatregelen daadwerkelijk in de uitvoering terecht? Wanneer dat nog niet het geval is, biedt BIO 2 de kans om deze onderwerpen stevig te verankeren in de organisatie. 

Meer weten? 

aaff is graag overal van betekenis. Voor meer informatie over BIO2 of over de dienstverlening van IT-audit (externe link) kun je contact opnemen met de specialisten van ons IT-audit team.