Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
- Verplichtingen BIO, derde opsomming
Huidige tekst
Tekst uit de BIO2:
Entiteiten tonen opzet, bestaan en werking van maatregelen aan.
Dit vereiste volgt ook uit de Cbw/Network and Information Security directive 2 (NIS2). De BIO omvat overheidsmaatregelen op tactisch niveau. Dit betekent dat deze maatregelen door de entiteit eerst geoperationaliseerd worden voordat ze geïmplementeerd kunnen worden. Deze implementatie is risicogericht en voldoet aan best practices en marktstandaarden. Onderdeel van de operationalisatie is het kunnen detecteren of de maatregel goed functioneert. Over het hele ontwerp wordt geborgd dat uitval van één maatregel niet leidt tot een directe kwetsbaarheid in het hele systeem.
Hoe de maatregelen zijn geoperationaliseerd, wordt via verwijzingen vastgelegd. Hiermee toont een entiteit de ‘opzet’ van maatregelen aan. Al dan niet met behulp van externe partijen en/of via self-assessments, audits, pentesten, redteam-testen en dergelijke toont een entiteit het ‘bestaan’ en de ‘werking’ aan van maatregelen aan.
Tekst uit de Veelgestelde vragen over de BIO2:
Waarvoor wordt de opzet, bestaan en werking van maatregelen aangetoond?
De verplichting voor het aantonen van opzet, bestaan en werking van maatregelen geldt voor alle processen, systemen en diensten die binnen de reikwijdte van het managementsysteem voor informatiebeveiliging (ISMS) vallen. De reikwijdte van het ISMS bepaalt daarmee welke onderdelen aantoonbaar in control moeten zijn.
Binnen deze reikwijdte moeten relevante beheersmaatregelen aantoonbaar zijn ingericht (opzet), geïmplementeerd zijn (bestaan) en functioneren (werking). Daarbij is er ruimte om de mate van aantoonbaarheid risico-gedreven vorm te geven als onderdeel van de operationalisatie van de maatregelen.
Voor processen, systemen en diensten die essentieel zijn voor de organisatie of voor de dienstverlening aan burgers en bedrijven zal de aantoonbaarheid doorgaans uitgebreider en formeler moeten zijn. Voor onderdelen met een lager risicoprofiel kan deze aantoonbaarheid proportioneel worden ingericht. De gekozen aanpak wordt altijd onderbouwd met een risicoafweging.
Voorgestelde tekst
Entiteiten tonen opzet, bestaan en werking van maatregelen aan.
Het aantonen van de opzet, het bestaan en de werking van maatregelen is een indirecte vereiste uit de Cbw/Network and Information Security directive 2 (NIS2-richtlijn).
Opzet: maatregelen worden geoperationaliseerd voordat ze worden geïmplementeerd. Dit gebeurt risicogebaseerd en volgens best practices en marktstandaarden, waarbij uitval van één maatregel geen directe kwetsbaarheid voor het hele systeem oplevert. Onderdeel van de operationalisatie is ook het kunnen detecteren of de maatregel goed functioneert. De opzet wordt vastgelegd via verwijzingen naar de operationalisatie.
Bestaan en werking: de entiteit of een externe partij toont met self-assessments, audits, pentesten, redteam-testen etc. aan of de maatregelen aanwezig zijn en functioneren zoals bedoeld.
-> Verwerk in de voorstelde tekst nog de normen uit het antwoord op de veelgestelde vraag: Waarvoor wordt de opzet, bestaan en werking van maatregelen aangetoond? Zie: https://www.bio-overheid.nl/bio2/veelgestelde-vragen-over-de-bio2/.
Constatering + argumentatie
-
Houd alle termen door de gehele BIO gelijk. In dit hoofdstuk gaat het om maatregel. Als met maatregel overheidsmaatregel en beheersmaatregel wordt bedoeld, leg dit uit en voer dat consequent door. Of noteer beheersmaatregel dan wel overheidsmaatregel. Hanteer NIS2-richtlijn in plaats van richtlijn of NIS2.
Door inconsistenties in termgebruik is het nodig om meerdere zoekopdrachten uit te voeren in de BIO maar bijvoorbeeld ook de BIO-practices (BIO-verwijzingsmatrix) om alle relevante informatie te vinden. Inconsistent termgebruik kan ook leiden tot verwarring.
-
Er staat: Deze implementatie is risicogericht en voldoet aan best practices en marktstandaarden. De opzet/inrichting is risicogebaseerd en voldoet aan best practices en marktstandaarden.
-
Het antwoord op de Veelgestelde vraag bevat niet alleen een verduidelijking, maar ook normen/vereisten die de BIO nu niet bevat.
-
Noteer de kernboodschap bovenaan en de uitwerking eronder puntsgewijs. Deze notatie leest prettiger en de boodschap beklijft beter.
Verwachte impact
/
Opmerkingen
/
Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
Huidige tekst
Tekst uit de BIO2:
Entiteiten tonen opzet, bestaan en werking van maatregelen aan.
Dit vereiste volgt ook uit de Cbw/Network and Information Security directive 2 (NIS2). De BIO omvat overheidsmaatregelen op tactisch niveau. Dit betekent dat deze maatregelen door de entiteit eerst geoperationaliseerd worden voordat ze geïmplementeerd kunnen worden. Deze implementatie is risicogericht en voldoet aan best practices en marktstandaarden. Onderdeel van de operationalisatie is het kunnen detecteren of de maatregel goed functioneert. Over het hele ontwerp wordt geborgd dat uitval van één maatregel niet leidt tot een directe kwetsbaarheid in het hele systeem.
Hoe de maatregelen zijn geoperationaliseerd, wordt via verwijzingen vastgelegd. Hiermee toont een entiteit de ‘opzet’ van maatregelen aan. Al dan niet met behulp van externe partijen en/of via self-assessments, audits, pentesten, redteam-testen en dergelijke toont een entiteit het ‘bestaan’ en de ‘werking’ aan van maatregelen aan.
Tekst uit de Veelgestelde vragen over de BIO2:
Waarvoor wordt de opzet, bestaan en werking van maatregelen aangetoond?
De verplichting voor het aantonen van opzet, bestaan en werking van maatregelen geldt voor alle processen, systemen en diensten die binnen de reikwijdte van het managementsysteem voor informatiebeveiliging (ISMS) vallen. De reikwijdte van het ISMS bepaalt daarmee welke onderdelen aantoonbaar in control moeten zijn.
Binnen deze reikwijdte moeten relevante beheersmaatregelen aantoonbaar zijn ingericht (opzet), geïmplementeerd zijn (bestaan) en functioneren (werking). Daarbij is er ruimte om de mate van aantoonbaarheid risico-gedreven vorm te geven als onderdeel van de operationalisatie van de maatregelen.
Voor processen, systemen en diensten die essentieel zijn voor de organisatie of voor de dienstverlening aan burgers en bedrijven zal de aantoonbaarheid doorgaans uitgebreider en formeler moeten zijn. Voor onderdelen met een lager risicoprofiel kan deze aantoonbaarheid proportioneel worden ingericht. De gekozen aanpak wordt altijd onderbouwd met een risicoafweging.
Voorgestelde tekst
Entiteiten tonen opzet, bestaan en werking van maatregelen aan.
Het aantonen van de opzet, het bestaan en de werking van maatregelen is een indirecte vereiste uit de Cbw/Network and Information Security directive 2 (NIS2-richtlijn).
Opzet: maatregelen worden geoperationaliseerd voordat ze worden geïmplementeerd. Dit gebeurt risicogebaseerd en volgens best practices en marktstandaarden, waarbij uitval van één maatregel geen directe kwetsbaarheid voor het hele systeem oplevert. Onderdeel van de operationalisatie is ook het kunnen detecteren of de maatregel goed functioneert. De opzet wordt vastgelegd via verwijzingen naar de operationalisatie.
Bestaan en werking: de entiteit of een externe partij toont met self-assessments, audits, pentesten, redteam-testen etc. aan of de maatregelen aanwezig zijn en functioneren zoals bedoeld.
-> Verwerk in de voorstelde tekst nog de normen uit het antwoord op de veelgestelde vraag: Waarvoor wordt de opzet, bestaan en werking van maatregelen aangetoond? Zie: https://www.bio-overheid.nl/bio2/veelgestelde-vragen-over-de-bio2/.
Constatering + argumentatie
Houd alle termen door de gehele BIO gelijk. In dit hoofdstuk gaat het om maatregel. Als met maatregel overheidsmaatregel en beheersmaatregel wordt bedoeld, leg dit uit en voer dat consequent door. Of noteer beheersmaatregel dan wel overheidsmaatregel. Hanteer NIS2-richtlijn in plaats van richtlijn of NIS2.
Door inconsistenties in termgebruik is het nodig om meerdere zoekopdrachten uit te voeren in de BIO maar bijvoorbeeld ook de BIO-practices (BIO-verwijzingsmatrix) om alle relevante informatie te vinden. Inconsistent termgebruik kan ook leiden tot verwarring.
Er staat: Deze implementatie is risicogericht en voldoet aan best practices en marktstandaarden. De opzet/inrichting is risicogebaseerd en voldoet aan best practices en marktstandaarden.
Het antwoord op de Veelgestelde vraag bevat niet alleen een verduidelijking, maar ook normen/vereisten die de BIO nu niet bevat.
Noteer de kernboodschap bovenaan en de uitwerking eronder puntsgewijs. Deze notatie leest prettiger en de boodschap beklijft beter.
Verwachte impact
/
Opmerkingen
/