NIS2, Cbw en BIO2: hoe verhouden ze zich?

NIS2, de Cyberbeveiligingswet en de BIO2 horen bij elkaar, maar het zijn niet drie woorden voor hetzelfde. Ze vormen een keten: van een Europees doel, via een Nederlandse wet, naar een concrete invulling voor de overheid. Wie het onderscheid kent, weet precies wat voor de eigen organisatie geldt.

De drie begrippen

NIS2 (de Europese richtlijn)

Richtlijn (EU) 2022/2555 verhoogt het niveau van cyberbeveiliging in de hele EU. Een richtlijn werkt niet rechtstreeks: elke lidstaat moet hem omzetten in eigen nationale wetgeving.

Cyberbeveiligingswet (de Nederlandse wet)

De Cbw is de Nederlandse omzetting van NIS2. Zij legt de concrete verplichtingen vast: de zorgplicht (passende maatregelen, art. 21), de meldplicht (significante incidenten melden in 24 uur, 72 uur en een maand, art. 23) en de registratieplicht. Voor overheden geldt de Cbw rechtstreeks.

BIO(2) (de praktische invulling)

De Baseline Informatiebeveiliging Overheid is geen wet, maar het gezamenlijke normenkader van de Nederlandse overheid, gebaseerd op ISO 27001. De doorontwikkelde BIO2 geldt als praktische invulling van de Cbw-zorgplicht: wie aantoonbaar aan de BIO2 voldoet, vult daarmee de zorgplichtmaatregelen in.

De keten in een zin

NIS2 bepaalt het Europese doel, de Cyberbeveiligingswet maakt er Nederlandse wet van, en de BIO2 is hoe de overheid het concreet invult. Of korter: NIS2 is het waarom, de Cbw is het wat, en de BIO2 is het hoe.

Wat betekent dit voor uw organisatie?

• Overheden (rijk, provincies, gemeenten, waterschappen) vallen rechtstreeks onder de Cbw en gebruiken de BIO2 als invulling van de zorgplicht.
• Voor gemeenten loopt de verantwoording over de BIO bovendien via de jaarlijkse ENSIA-cyclus, met de collegeverklaring en een IT-audit.
• Private essentiele en belangrijke entiteiten (energie, zorg, digitale aanbieders, industrie) vallen ook onder de Cbw, maar vullen de zorgplicht doorgaans in met ISO 27001 of eigen maatregelen in plaats van de BIO2.