De Baseline Informatiebeveiliging Overheid (BIO) moet de verplichte wettelijke basis voor informatieveiligheid bij de overheid worden, zo heeft staatssecretaris Van Huffelen van Digitalisering in een brief aan de Tweede Kamer laten weten. De BIO bevat allerlei maatregelen om systemen te beveiligen en bijvoorbeeld malware of andere aanvallen te voorkomen.
Als het gaat om bescherming tegen malware betreft het zaken als het beperken van het downloaden van bestanden, het voorlichten van gebruikers, het scannen van computers en updaten van antivirussoftware. Ook worden er handreikingen gedaan voor back-up en recovery, zoals maximale dataverlies en hersteltijd, die respectievelijk op 28 uur en 16 werkuren zijn gesteld.
Andere onderwerpen in de BIO zijn logging en monitoring, beheer van technische kwetsbaarheden, audits van informatiesystemen, netwerkbeveiliging, het veilig uitwisselen van informatie, beveiligingseisen voor systemen, omgang met leveranciers en informatiebeveiligingsincidenten, veiligheid van telewerken en het gebruik van mobiele apparatuur, screening van personeel en compliance.
Vorig jaar werd al bekend dat het ministerie van Binnenlandse Zaken aan de slag zou gaan om de BIO als juridisch uitgangspunt te hanteren voor informatieveiligheid bij de overheid. Dit zou de lastendruk bij overheden moeten verminderen. Vandaag laat Van Huffelen weten dat ze wettelijke basis voor informatieveiligheid bij de overheid wil gaan regelen via een zorgplicht waar nadere regels aan zijn te stellen, zoals de BIO.
"Door het wettelijk verplichten van de BIO is de vrijblijvendheid voorbij. Vanuit de Rijksoverheid worden aan medeoverheden vanuit verschillende bronnen informatiebeveiligingseisen gesteld. Door op één plaats een algemene zorgplicht voor informatieveiligheid bij de overheid te regelen, bereik ik ook een vereenvoudiging van regels binnen de overheid", aldus de staatssecretaris. Hierdoor zou de focus meer komen te liggen op het feitelijk beveiligen in plaats van "administratief beveiligen".
Verder zal er toezicht plaatsvinden op de naleving van de wettelijk verplichte informatieveiligheid bij de overheid. Het gaat dan niet alleen om de naleving van algemene regels, zoals de BIO, maar ook op specifieke regels die vanuit vakdepartementen, aanvullend op de BIO worden gesteld. "Het toezicht moet proportioneel zijn, dus veel aandacht voor de zorgvuldigheid bij het beveiligen van vitale processen en andere ‘kroonjuwelen’", stelt Van Huffelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.