Algemeen -> onderbouwing van het ontwerp

[Annemieke-CIP]

Kunnen inputdocumenten (besluitenlijst evaluatierapport BIO, besluitenlijst fit-gap-analyse BIO2-NIS2, overzicht brondocumenten etc.) voor het conceptontwerp BIO2 beschikbaar worden gesteld? Dat vergemakkelijkt de review, maar is ook nodig voor een effectief en efficiënt beheer van de BIO2. Als er bijvoorbeeld een conceptontwerp is met een verwijzing per eis naar brondocumenten, besluiten etc. vergemakkelijkt dat de review van het conceptontwerp.

Is er een visie op: hoe om te gaan met aanpalende wetten en de samenhang van deze wetten? Zo ja, kan deze gedeeld worden? Bijvoorbeeld de CER gaat over fysieke beveiliging. De ISO 27002 heeft ook een hoofdstuk gewijd aan fysieke beveiliging. Wat komt er vanuit de CER wel of niet in de BIO terecht en met welke reden?

[dvebzk]

Het ontwerp is het resultaat van afstemming met de medeoverheden in de werkgroep BIO en kern IBO. Daarmee is het ontwerp de afgestemde insteek. Eventuele aanpassingen in het concept zullen weer worden besproken binnen de overleg om te komen tot een definitief ontwerp van de BIO2.

De informatie die gebruikt is als input is vrij te vinden op:

• NIS2 pagina van Digitale Overheid (Cyberbeveiligingswet)
• De evaluatie BIO
• Mapping NIS2 en NEN-EN-ISO/IEC 27002

Voor wat betreft de CER:

• Eventuele samenhang in wetten zijn onderdeel van de wetstrajecten van CER en NIS2.
• De BIO gaat over informatieveiligheid. De CER gaat daar primair niet over, zoals aangegeven in wetsvoorstel de CER, hoofdstuk 3, artikel 4. Het is niet de verwachting dat er daarom maatregelen uit de CER opgenomen worden in de BIO.
• Insteek is om in normen geen overbodige overlap te laten ontstaan. Dat is ook hoe de BIO wordt vormgegeven.

[Annemieke-CIP]

Dank voor de reactie. Helaas is mijn eerste vraag niet beantwoord.

De drie opgesomde documenten dragen bij aan een efficiënt en effectief beheer van de BIO2. Voor een efficiënt en effectief is meer nodig:

• verslagen van de estafettes met de CISO's.
• besluitenlijst Bijvoorbeeld in het kern-IBO is besloten om de term Controls en Overheidsmaatregelen te handhaven. In het BIO2-ontwerp is hiervan afgeweken. Werkgroep BIO-leden zijn hiervan niet op de hoogte. Het kern-IBO heeft deze aanpassing niet bekrachtigd. Zij kunnen nieuwe besluiten bekrachtigen met de vaststelling van de BIO2, voorafgaand aan goedkeuring van het OBDO). Waar zijn nieuwe besluiten inzichtelijk gemaakt?
• de mapping BIO2/NIS2 is niet reproduceerbaar. Wat verwachten beheerders van de BIO2? Inzichtelijk hebben waar welke tekst uit de mapping overeenkomt met de eis dan wel pagina uit de NIS2. Zo wordt ook inzichtelijk of het werk bijvoorbeeld volledig is uitgevoerd.

[Annemieke-CIP]

Met betrekking tot mijn tweede vraag.

Logischerwijs verwijst de CER naar de Cbw. De Cbw zal verwijzen naar de BIO. De BIO gaat voor een deel ook over fysieke beveiliging. De BIO volgt immers de ISO 27002, waardoor fysieke beveiliging er een onderdeel van is. Vanuit het invullen van risicobeheer heb je twee meetlatten, die dubbelingen dan wel tegenstrijdigheden kent.

Aanvullend: is de gehele visie op de BIO2 gedocumenteerd vanwege een efficiënt en effectief beheer. Kan deze beschikbaar worden gesteld en worden vastgesteld?