Op 23 september 2025 heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) de vernieuwde Baseline Informatiebeveiliging Overheid (BIO2) vastgesteld. De BIO2 geldt direct als verplichtende zelfregulering voor provincies, waterschappen en het Rijk, en als richtinggevend kader voor gemeenten.
De BIO2 vervangt de eerdere versie (BIO 1.04) en sluit nauwer aan bij internationale beveiligingsnormen, zoals ISO/IEC 27001:2023 en ISO/IEC 27002:2022. Een belangrijke verandering is dat de indeling in drie Basisbeveiligingsniveaus (BBN’s) verdwijnt. In plaats daarvan komt er een risicogestuurde benadering, waarmee organisaties hun maatregelen beter kunnen afstemmen op specifieke risico’s.
Daarnaast zijn de overheidsmaatregelen geactualiseerd: sommige versoepeld, andere verzwaard om te voldoen aan de Europese NIS2-richtlijn. De BIO2 wordt bovendien opgenomen in de nieuwe Cyberbeveiligingswet (Cbw), die de NIS2 in Nederland implementeert. Daarmee wordt de BIO2 hét normenkader voor de zorgplicht die de overheid heeft op het gebied van informatiebeveiliging.
Het gebruik van één uniform normenkader voor alle overheidslagen biedt volgens het ministerie van BZK duidelijke voordelen: sterkere ketensamenwerking, minder administratieve lasten, voorspelbare beveiligingsnormen en lagere onderhoudskosten.
Om de overgang te ondersteunen, start het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) een implementatiecampagne. Organisaties krijgen hulpmiddelen zoals een self-assessment, veelgestelde vragen en een overzicht van de belangrijkste wijzigingen.
De BIO2 blijft ook na de inwerkingtreding van de Cyberbeveiligingswet gelden als verplichtende zelfregulering voor organisaties die buiten de wet vallen, zoals Defensie en de AIVD.
