2LRN4 security awareness platform
← Terug naar kennisbank

Stap voor stap voldoen aan de awareness-eis van de BIO

De Baseline Informatiebeveiliging Overheid (BIO) verplicht overheden tot aantoonbare security awareness. Zo geef je stap voor stap invulling aan die eis, met training, herhaling en bewijs voor de auditor.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Werk je bij het Rijk, een gemeente, een provincie of een waterschap, dan is de Baseline Informatiebeveiliging Overheid (BIO) jouw normenkader. De BIO is gebaseerd op de internationale norm ISO 27001/27002 en stelt onder andere een duidelijke eis aan bewustwording: medewerkers, en waar relevant ook contractanten, moeten passende security awareness training krijgen en regelmatig worden bijgepraat over het beleid en de procedures die bij hun functie horen. Dit artikel laat zien hoe je stap voor stap aantoonbaar aan die eis voldoet.

Wat vraagt de BIO precies op het gebied van awareness?

De BIO neemt de bewustwordingseisen uit ISO 27002 over. De kern is dat bewustwording geen eenmalige actie is, maar een doorlopend proces. Een training bij indiensttreding is niet genoeg; medewerkers moeten gedurende hun dienstverband op de hoogte blijven van de regels die voor hun werk gelden.

Belangrijk is dat de norm vraagt om passende training. Dat betekent dat de inhoud aansluit bij de rol en de risico's van de medewerker. Een applicatiebeheerder loopt andere risico's dan een baliemedewerker, en de awareness hoort dat verschil te weerspiegelen. Tot slot vraagt de BIO om aantoonbaarheid: je moet kunnen laten zien dat het proces bestaat én werkt.

Stap 1: Bepaal je doelgroepen en hun risico's

Begin met een korte risico-inventarisatie per functiegroep. Welke gegevens verwerkt iemand, welke systemen gebruikt hij, en wat zou er misgaan bij een fout? Je hoeft hier geen groot project van te maken; een paar gesprekken per afdeling leveren al een bruikbaar beeld op.

Het resultaat is een overzicht van doelgroepen met de risico's die er voor hen toe doen. Dat overzicht stuurt de rest van je aanpak: het bepaalt welke onderwerpen je aan wie aanbiedt, en het vormt meteen het bewijs dat je awareness risicogericht hebt ingericht.

Stap 2: Richt training en herhaling in

Kies content die past bij de doelgroepen uit stap 1, en plan die in een vast ritme. Korte modules die regelmatig terugkomen werken beter dan één lange jaarlijkse sessie. Neem awareness ook op in het inwerkproces, zodat nieuwe medewerkers vanaf dag één meelopen.

Vergeet de contractanten niet. De BIO noemt hen expliciet waar zij toegang hebben tot informatie of systemen. Leg vast hoe externen worden meegenomen, ook als zij niet in je eigen leeromgeving zitten.

Stap 3: Zorg voor aantoonbaarheid

Een auditor wil niet horen dat je iets doet, maar het kunnen zien. Leg daarom systematisch vast:

  • Deelname: wie heeft welke training wanneer afgerond, inclusief nieuwe medewerkers en externen.
  • Inhoud en frequentie: welke onderwerpen je behandelt en hoe vaak je herhaalt.
  • Risicokoppeling: de onderbouwing waarom een doelgroep bepaalde onderwerpen krijgt.
  • Resultaten: meetwaarden zoals het meldpercentage bij phishingsimulaties, zodat je verbetering laat zien.

Stap 4: Verbeter op basis van wat je meet

Aantoonbaarheid is geen doel op zich. De cijfers die je verzamelt, gebruik je om bij te sturen. Blijft het meldgedrag in een bepaalde afdeling achter, dan weet je waar extra aandacht nodig is.

Zo wordt de BIO-eis geen afvinklijst, maar een motor voor echte verbetering. Je voldoet niet alleen aan de norm, je verlaagt aantoonbaar het risico, en dat is uiteindelijk waar het de norm om te doen is.

Related articles

FAQ

Voor wie geldt de BIO?

De BIO is het verplichte normenkader voor de hele Nederlandse overheid: het Rijk, gemeenten, provincies en waterschappen. Ook leveranciers en contractanten vallen eronder voor zover zij toegang hebben tot overheidsinformatie of -systemen.

Welk BIO-onderdeel gaat over awareness?

De BIO neemt de bewustwordingseisen van ISO 27002 over. De kern is dat medewerkers passende, op hun rol afgestemde training krijgen en regelmatig worden bijgepraat over beleid en procedures. Bewustwording moet een doorlopend proces zijn, geen eenmalige actie.

Hoe vaak moet awareness-training plaatsvinden?

De BIO schrijft geen vaste frequentie voor, maar vraagt om een doorlopend proces. In de praktijk werken korte, regelmatig terugkerende modules beter dan één jaarlijkse sessie. Neem awareness ook op in het inwerkproces voor nieuwe medewerkers.

Wat wil een auditor precies zien?

Bewijs dat het proces bestaat én werkt: deelnameregistratie, de behandelde onderwerpen en hun frequentie, de koppeling tussen doelgroep en risico, en resultaten zoals het meldpercentage bij phishingsimulaties. De combinatie van deze stukken is je sterkste bewijs.

Hoe verhoudt de BIO zich tot NIS2?

De BIO is het overheidskader op basis van ISO 27001/27002; NIS2 is Europese wetgeving die voor veel organisaties bovenop bestaande kaders komt. De bewustwordingsaanpak overlapt grotendeels: risicogericht, doorlopend en aantoonbaar. Eén goed ingericht awarenessprogramma bedient beide.

Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen