Key2Control > Nieuws > Actueel > Met de publicatie in de Staatscourant is BIO2 geen Excel-oefening meer

Met de publicatie in de Staatscourant is BIO2 geen Excel-oefening meer

24 maart 2026 Actueel, Blogs, Informatiebeveiliging, Nieuws
nieuwe BIO2

Zoals bij velen inmiddels bekend is, is de BIO2 gepubliceerd in de Staatscourant van 5 maart 2026 en daarmee formeel verplicht gesteld voor overheidsorganisaties. De BIO2 is gebaseerd op de internationale standaarden ISO 27001 en ISO 27002.

Waar ISO 27001 zich richt op de effectieve werking van een Information Security Management System (ISMS), biedt ISO 27002 een samenhangende set van beheersmaatregelen die organisaties kunnen toepassen afhankelijk van hun context. De vrijblijvendheid is hiermee verdwenen. Overheidsorganisaties moeten aantoonbaar voldoen.

Door Gerrit Goud

De prioriteit ligt op een werkend ISMS

Voor overheidsorganisaties zijn binnen de BIO2 verplichte overheidsmaatregelen vastgesteld die voortkomen uit de wettelijke zorgplicht. Deze maatregelen vormen een ondergrens. Tegelijkertijd biedt de BIO2 expliciet ruimte om aanvullende beheersmaatregelen te treffen, afhankelijk van de risico’s en de aard van de informatieverwerking. Deze maatregelen moeten zijn ingebed in een jaarlijks terugkerend beheersingsproces; daarvoor geldt het ISMS.

De prioriteit zou daarom niet moeten liggen op het implementeren van alle mogelijke beheersmaatregelen, maar op het inrichten van een werkbaar en aantoonbaar effectief ISMS. Oftewel: een beheersingsproces gebaseerd op een PDCA-cyclus, gericht op continue verbetering, sturing en verantwoording. Het gaat om het vertalen van de zorgplicht naar digitale weerbaarheid, waarbij het bestuur aantoonbaar actief betrokken is en keuzes worden gemaakt op basis van risico’s. Dat vraagt om een bestuurlijke en ambtelijke mindset die verder gaat dan beleid, richtlijnen en procedures.

En precies daar wringt het in de praktijk.

Excel-omgevingen voor een ISMS zijn passé

Ongetwijfeld zullen Excel-puristen het hier niet mee eens zijn. Toch zijn de risico’s op discontinuïteit, reputatieschade, bestuurlijke aansprakelijkheid en boetes bij niet-naleving simpelweg te groot. Zeker in combinatie met het strategisch belang van informatiebeveiliging. Wat op het eerste gezicht een goedkope oplossing lijkt, blijkt in de praktijk vaak duurkoop. Investeringen zijn dan ook onvermijdelijk.

In de praktijk wordt voor de inrichting van een ISMS nog vaak gebruikgemaakt van Excel-gedreven oplossingen. Dat is opvallend, omdat het hier gaat om een onderwerp onder extern toezicht, met een duidelijk boeteregime. Bovendien is het lastig om een Excel-omgeving duurzaam in stand te houden in situaties met personeelswisselingen of externe inhuur.

Het gaat bovendien niet alleen om het aanstellen van een CISO of het vastleggen van verantwoordelijkheden op papier. Organisaties moeten kunnen aantonen dat kennis en competenties zijn geborgd. Ook moeten beheeractiviteiten daadwerkelijk worden uitgevoerd. En belangrijker nog: deze activiteiten moeten leiden tot een effectief werkend ISMS. Dat kan niet afhankelijk zijn van één persoon. Het vraagt om betrokkenheid van de hele organisatie. En dat organiseer je niet met losse Excel-bestanden.

Een falend ISMS wordt zichtbaar

Zolang er geen beveiligingsincidenten zijn, kan een gebrekkige inrichting van het ISMS voor de buitenwereld nog worden gemaskeerd. Maar op het moment dat zich een meldplichtig beveiligingsincident voordoet, komt de externe toezichthouder in beeld.

Als de organisatie dan niet kan aantonen dat kennis, vaardigheden en competenties zijn geborgd en dat beheeractiviteiten daadwerkelijk worden uitgevoerd, ontstaat direct een probleem. Zeker wanneer deze activiteiten niet aantoonbaar leiden tot een effectief werkend ISMS, waarin ook de digitale weerbaarheid is geborgd. Dat probleem raakt niet alleen compliance, maar ook bestuurlijke verantwoordelijkheid en vertrouwen, met als mogelijk gevolg een forse bestuurlijke boete. Dat had voorkomen kunnen worden.

Een werkbaar effectief ISMS in de praktijk

Wij bieden professionele software waarmee organisaties een werkbaar en aantoonbaar effectief ISMS kunnen inrichten en onderhouden.

Onze aanpak wordt in de praktijk als effectief en werkbaar ervaren. Niet alleen de verplichte overheidsmaatregelen zijn opgenomen, maar ook aanvullende beheersmaatregelen die nodig zijn om aan de norm te voldoen. Voor de normen waarvoor organisaties zelf invulling moeten geven, zijn deze direct vertaald naar concrete en toepasbare maatregelen. Het resultaat is een samenhangend geheel waarin maatregelen niet los staan, maar onderdeel zijn van een structureel beheersingsproces. Dit ondersteunt organisaties bij het aantoonbaar maken van compliance, het maken van verantwoorde risicogebaseerde keuzes en het borgen van continuïteit van het ISMS — ook bij personele wisselingen.

Zo wordt informatiebeveiliging geen Excel-oefening, maar aantoonbare beheersing.

Webinar Snel aan de slag met de nieuwe BIO2 met Key2Control

Voor onze klanten organiseren we op donderdag 23 april een webinar over het gebruik van de nieuwe BIO2 in de Key2Control software. Tijdens dit webinar laten we concreet zien wat er is veranderd en hoe de BIO2 in Key2Control redactioneel is verrijkt, zodat je de verplichte overheidsmaatregelen aantoonbaar maakt.

Maakt jouw organisatie nog geen gebruik van Key2Control? Dan plannen we graag een persoonlijk gesprek om de mogelijkheden te bespreken.

Meld je hier aan voor het webinar

Donderdag 23 april
11:00 tot 12:00

Naam(Vereist)
Auteur Gerrit Goud
Auteur Gerrit Goud

Deze blog is geschreven door Gerrit Goud, Senior Consultant bij Key2Control. Wil je een vraag stellen aan Gerrit? Neem dan persoonlijk contact met hem op.

Tags:

Dit vind je misschien ook interessant