BIO en CSIR

BIO

De BIO is in december 2018 vastgesteld door de Ministerraad voor de Rijksoverheid. Daarvoor was door de gemeenten, waterschappen en provincie reeds besloten tot invoering van de BIO. De overheidslagen zijn per 1-1-2019 gestart met de implementatie van de BIO. Iedere overheidslaag heeft daarvoor zelf een implementatiepad opgesteld. De minister van BZK heeft bepaald dat in het digitale verkeer met het Rijk de BIO wordt gehanteerd.

Basis voor informatiebeveiliging

Iedere overheidsorganisatie moet de Baseline Informatiebeveiliging Overheid (BIO) hanteren als basis voor informatiebeveiliging. De BIO beschrijft aan welke controls uit de ISO 27001 en ISO 27002 dient te worden voldaan. Bij alle controls dient, op basis van een individuele risicoafweging, te worden bepaald hoe aan de beveiligings­doelstelling van de control kan worden voldaan. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheids­maatregelen. Deze verplichte overheids­maatregelen zijn herkenbaar aan de tekstkleur groen.

Hetzelfde normenkader

Het gebruik van hetzelfde normenkader voor de gehele overheid biedt een aantal voordelen, te weten:

  1. Het versterken van de informatie­veiligheid door betere afstemming binnen ketens van overheden en andere partijen;

  2. Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door uniforme beveiligings­normen bij de overheid;

  3. Aansluiting bij internationale regelgeving en standaarden;

  4. Vermindering van onderhoudskosten.


CSIR

De CSIR staat voor Cyber Security Implementatie Richtlijn en is speciaal ontwikkeld om objecten (water­zuiverings­installaties, gemalen, bruggen, keringen, sluizen, enz.) te beveiligen. De CSIR versie 3 verschilt van eerdere versies omdat deze veralgemeniseerd is en daarmee primair bruikbaar is gemaakt voor alle BAW (Bestuurs Akkoord Water) partners. Tevens is deze versie breed inzetbaar voor andere (overheids)organisaties die gebruik maken van proces­auto­matisering (ook wel industriële auto­matisering genoemd).

Achtergrond

De CSIR versie 3 is in samenwerking ontwikkeld door Rijkswaterstaat en het Waterschapshuis (hWh). De CSIR is afgeleid vanuit de BIO en aangevuld met beheersmaatregelen uit de industriestandaard IEC 62443 om dekkend te zijn voor de beveiliging van proces­auto­matisering. Denk bij proces­auto­matisering aan de technische installaties behorende bij kunstwerken en objecten die worden gebruikt om te meten, bedienen, besturen en beschermen.

Doel

Met de CSIR wordt uw organisatie handvatten gegeven om risico-gestuurd de digitale weerbaarheid te verhogen: van object­classificering tot concrete maatregelen op gebied van mens, organisatie en techniek geeft de CSIR maatregelen die passen bij de kritieke geaardheid van het kunstwerk of object. U heeft hiermee een kosten­effectieve manier om de digitale weerbaarheid van uw organisatie en objecten op orde te brengen én te houden.