BIO2-Light: Een Risicovolle Compromis of Realistische Oplossing voor Gemeenten?
De realiteit van gemeentelijke weerbaarheid
Wanneer in juni 2025 meer dan 150 Nederlandse gemeenten betrokken raken bij ransomware-aanvallen[1], wordt pijnlijk duidelijk dat het cyberrisico van gemeenten geen abstracte dreiging is, maar een praktische en urgente uitdaging voor het publieke domein. De aanvallen slagen vaak via kwetsbare leveranciers, zwakke patches of onoplettendheid bij de gebruikers, met als gevolg dat gevoelige burgergegevens worden gestolen en vitale diensten, zoals burgerzaken en sociale hulpverlening, worden verstoord. Deze incidenten vormen een harde wake-up call voor overheden, de digitale veerkracht van gemeenten blijkt kwetsbaar[2].
In dit licht introduceert het Rijk de "Baseline Informatiebeveiliging Overheid 2 (BIO2)", gepresenteerd in september 2025[3], als het nieuwe, verplichte normenkader voor alle overheidsorganisaties, inclusief gemeenten. BIO2 volgt de structuur van ISO/IEC 27001:2022 en ISO/IEC 27002:2022, en vult deze aan met Nederlandse overheids-specifieke eisen en interpretaties in lijn met de NIS2-richtlijn en de Cybersecuritywet (verwacht in 2026)[4]. Hiermee krijgt de overheid een uniforme, risicogestuurde aanpak, waarin de zorgplicht voor informatiebeveiliging concreet wordt ingevuld en afdwingbaar.
Waarom is BIO2 zo zwaar?
De omvang en ambitie van BIO2 maken dat het voor gemeenten een enorme opgave is om compliant te worden binnen de gestelde termijnen. Waar grote ministeries en complexe organisaties kunnen beschikken over uitgebreide cybersecurity-teams en geavanceerde tooling, moeten kleine en middelgrote gemeenten met beperkte middelen en capaciteit proberen te voldoen aan dezelfde eisen[5].
De belangrijkste factoren waarom de BIO2 vooral voor gemeenten als zwaar wordt ervaren:
- Schaalbaarheid en complexiteit: De norm bevat 93 beheersmaatregelen die in principe voor elke organisatie gelden, ongeacht omvang of risico. Voor een gemeente met slechts enkele medewerkers en beperkte ICT-inzet is dat bijna onhaalbaar zonder ingrijpende investeringen[6].
- Personeelstekort: Volgens de VNG- en CIP-rapportages ontbreken er landelijk honderden gekwalificeerde cybersecurity-specialisten bij gemeenten[7]. Zonder dedicated CISO's, security-analisten of auditors is het lastig om de norm te implementeren zonder externe ondersteuning.
- Financiële middelen: Een volledige BIO2-implementatie, inclusief tooling (zoals SIEM, IAM en vulnerability-management) en opleidingen, kost in de praktijk tussen de €500.000 en €1,5 miljoen in de eerste drie jaar (gemiddeld)[8]. Dit budget is voor veel kleine gemeenten onhaalbaar, terwijl de baten voor datatoepassingen en dienstverlening op de lange termijn evident zijn[9].
- Organisatiecultuur en verandering: BIO2 vereist een risicogestuurde aanpak, doorlopende monitoring, betrokken topmanagement en een beveiligingscultuur die nog moet worden opgebouwd. Het is geen checklist, maar een continuous improvement-proces dat diep verankerd moet worden in de organisatie[10].
Kortom, de gestelde eisen in BIO2 reflecteren een ideaalbeeld van een moderne, volwassen overheid, maar botsen in de praktijk met de beschikbare middelen.
De VNG‑benadering: pragmatiek of precedent?
De VNG speelt een kritische rol door te pleiten voor een *proportionele* en *gefaseerde* aanpak. In haar reactie op BIO2 (september 2024) benadrukt zij dat gemeenten niet in één keer aan alle 93 controls kunnen voldoen: de variatie in schaal, middelen en bestaande beveiligingsniveau is groot[11].
Daarom adviseert de VNG onder meer:
- Een risicogebaseerde prioritering: maatregelen eerst te implementeren op basis van de grootste risico’s en kritieke systemen.
- Een geleidelijke invoering: bijvoorbeeld door te werken met een ‘BIO2-light’ voor kleinere gemeenten, waarin gefaseerd extra controls worden toegevoegd.
- Het gebruik van praktische hulpmiddelen zoals de BIO Self-Assessment en Groeiplan[12].
Deze benadering is begrijpelijk vanuit bestuurlijk en organisatorisch perspectief, maar brengt ook risico’s met zich mee, vooral in een keten waarbij één zwakke schakel het hele systeem kan verdrijven[13].
Volgens ENISA is het erkennen van variatie in implementatieniveau niet per se risicodiagnostisch, maar moet het altijd worden gekoppeld aan concrete maatregelen en verantwoording. Anders ontstaan er ‘security gaps’ die criminelen en kwaadwillenden kunnen exploiteren[14].
Kosteneffectiviteit en risicopreventie
De discussie rondom kosten en baten speelt een grote rol. Gemeenten wijzen vaak op de hoge kosten van implementatie en beheersing, terwijl de economische en maatschappelijke gevolgen van datalekken en cyberincidenten veel ernstiger zijn[15].
Volgens de meest actuele berekeningen kost een datalek in het publieke domein, zoals bij de BRP of Wmo-dossiers, vaak tussen de €0,8 en €5 miljoen aan onderzoek, herstel, schadeclaims en reputatieverlies[16]. Sancties onder de AVG kunnen oplopen tot €525.000 per incident, en onder de NIS2, via de Cybersecuritywet (naar verwachting in 2026), tot €10 miljoen of 2 % van de omzet[17].
De conclusie is helder: het niet investeren in adequate beveiliging levert veel hogere kosten op dan de voorbereidende investeringen. Het risico van reputatieschade, boetes en maatschappelijke onrust is niet in geld uit te drukken, maar wel enorm.
Een uniforme beschermingslaag: de burger als dupe
In de ogen van burgers is er slechts één overheid: het lokaal of het Rijksniveau maakt niet uit. Of een burger nu een paspoort aanvraagt of een Wmo-voorziening, hij of zij verwacht dat hun gegevens veilig zijn. De BIO2 is er juist op gericht om dit vertrouwen waar te maken door een uniforme norm te hanteren[18].
Een gefaseerde of "lichte" aanpak kan echter de kern van die uniformiteit ondermijnen. Cybercriminelen profiteren van elke kwetsbare schakel. De ransomwaregolf van 2025, die via kleine leveranciers en achterstallig patchbeheer verder verspreidde, onderstreept dat het niet uitmaakt of een gemeente groot of klein is: zwakke beveiligingspunten worden misbruikt[19].
Daarnaast vormen juridische risico’s en aansprakelijkheid een serieus punt. Bij een datalek kan een gemeente aansprakelijk worden gesteld onder de AVG, en onder NIS2 kunnen bestuurlijke boetes worden opgelegd[20]. Het is daarom cruciaal dat de norm niet afzwakt, maar breed en op gelijke wijze wordt nageleefd.
Slimmer, niet duurder: de kracht van risicomanagement
De uitdaging ligt niet in het verlagen van de norm, maar in het slim toepassen ervan. ISO 27001 en BIO2 bieden een framework voor risicomanagement (Annex A). Slimme prioritering en korte cycli kunnen gemeenten helpen snel resultaat te boeken met beperkte middelen:
- Asset-inventarisatie en eigenaarschap: bepaal welke systemen kritisch zijn en wijs expliciete risico‑eigenaren toe[21].
- Basishygiëne: MFA, patchbeheer en korte bewustwordingssessies beperken de aanvalsvectoren drastisch[22].
- Verklaring van Toepasselijkheid (VvT): leg vast wat wel en niet van toepassing is en onderbouw afwijkingen; dit helpt bij audits en bewijst risicogerichtheid[23].
Door deze praktische aanpak kunnen gemeenten binnen 12 tot 18 maanden een basis volwassenheid bereiken die aantoonbaar voldoet aan de normen tegen een fractie van de kosten die volledige volledige implementatie met tooling en hire‑een‑team vergt.
Laat de bestuurders niet wachten
De enige manier om gemeenten daadwerkelijk in beweging te krijgen is door de persoonlijke belanghebbenden te raken: aansprakelijkheid, reputatie en korte termijn winsten.
- Aansprakelijkheid: sinds BIO2 en de nieuwe Cybersecuritywet is het bestuur verantwoordelijk voor voldoende beveiligingsmaatregelen. Failures kunnen leiden tot boetes en zelfs persoonlijk aansprakelijkheid[24].
- Reputatie: incidenten in de media ondermijnen het vertrouwen in gemeenten namens de overheid, vooral bij gevoelige diensten zoals jeugdzorg[25].
- Praktische quick wins: korte trajecten met een eenvoudige acties en directe resultaten zorgen voor draagvlak en tastbare borging binnen zes maanden.
Door een “urgentiebewustzijn” te creëren en concreet te maken dat een investering van enkele tienduizenden euro’s kan voorkomen dat een ontzettende boete of reputatieschade ontstaat, kunnen bestuurders de juiste keuzes maken.
Conclusie: van compromis naar volwassenheid
De discussie over BIO2‑light of gefaseerde implementatie is in wezen een afweging tussen bestuurlijk realisme en risicobeheersing. Het creëren van een systeemeigen, risicogestuurde en vooral proportionele aanpak, ondersteund door Rijk, provincie en ketenpartners, is de enige weg naar een betrouwbare, betaalbare en duurzame digitale overheid.
In plaats van te verzwakken, kan de norm worden geperfectioneerd door focus op kernprincipes: assetmanagement, risicobewustzijn, korte cycli en documentatie.
De overheid moet niet concluderen dat “het niet kan”, maar dat "het slimmer moet".
Sluit je geen compromissen, maar stap proactief over de risico’s, dat is voldoende volwassenheid voor 2025 en verder.
Auteur van dit blog: Robert Bals, IsoSecure b.v.
Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010
Bronnen
[1] Security.nl. (2025, 5 juni). "150 Nederlandse gemeenten betrokken bij ransomware-incidenten". https://www.security.nl/posting/890959/150+Nederlandse+gemeenten+betrokken+bij+ransomware-incidenten
[2] Veiligheidscoalitie. (2025). "Groeiende dreiging ransomware-aanvallen bij gemeenten". https://veiligheidscoalitie.nl/nieuws/groeiende-dreiging-ransomware-aanvallen-bij-gemeenten
[3] CIP. (2025, 8 december). "Baseline Informatiebeveiliging Overheid 2 (BIO2)". https://ibestuur.nl/partner/cip/baseline-informatiebeveiliging-overheid-2
[4] CIP. (2025, 8 december). "BIO2 gepubliceerd". https://ibestuur.nl/partner/cip/bio2-gepubliceerd
[5] iBestuur. (2025, 5 juni). "Digitale veiligheid gemeenten onder druk". https://ibestuur.nl/digitale-weerbaarheid/sectoren-en-organisaties/digitale-veiligheid-gemeenten-verder-onder-druk
[6] NEN. (2022). "ISO/IEC 27001:2022". https://www.nen.nl
[7] VNG. (2025). "Gemeentelijke cybersecurity-monitor". https://vng.nl
[8] VNG. (2025, 25 november). "Nieuw onderzoek: fors meer kosten voor informatiebeveiliging". https://vng.nl/nieuws/nieuw-onderzoek-fors-meer-kosten-voor-informatiebeveiliging
[9] Binnenlands Bestuur. (2025, 26 november). "Gemeenten zien kosten cybersecurity fors oplopen". https://www.binnenlandsbestuur.nl/digitaal/gemeenten-zien-kosten-security-oplopen-door-wetgeving
[10] CIP. (2025). "BIO2 en risicomanagement". https://ibestuur.nl/partner/cip/bio2-en-risicomanagement
[11] VNG. (2024). "Reactie op BIO2". https://vng.nl
[12] IBD. (2025). "BIO Self-Assessment tool". https://ibd.nl
[13] ENISA. (2025). "EU State of Cybersecurity 2025". https://www.enisa.europa.eu
[14] ENISA. (2025). "EU State of Cybersecurity 2025". https://www.enisa.europa.eu
[15] VNG. (2025, 25 november). "Nieuw onderzoek: fors meer kosten voor informatiebeveiliging". https://vng.nl/nieuws/nieuw-onderzoek-fors-meer-kosten-voor-informatiebeveiliging
[16] IBD. (2025). *Impactanalyse datalekken bij gemeenten". https://ibd.nl
[17] Autoriteit Persoonsgegevens. (2024). "Boetebeleid AVG en NIS2". https://autoriteitpersoonsgegevens.nl
[18] ENISA. (2025). "EU State of Cybersecurity 2025". https://www.enisa.europa.eu
[19] Security.nl. (2025, 5 juni). "150 Nederlandse gemeenten betrokken bij ransomware-incidenten". https://www.security.nl/posting/890959/150+Nederlandse+gemeenten+betrokken+bij+ransomware-incidenten
[20] Autoriteit Persoonsgegevens. (2024). "Boetebeleid AVG en NIS2". https://autoriteitpersoonsgegevens.nl
[21] NEN. (2022). "ISO/IEC 27001:2022". https://www.nen.nl
[22] IBD. (2025). "Basisprincipes cybersecurity gemeenten". https://ibd.nl
[23] NEN. (2022). "ISO/IEC 27001:2022". https://www.nen.nl
[24] Ministerie van BZK. (2025). "Cyberbeveiligingswet (concept)". https://www.rijksoverheid.nl
[25] Gemeente Hof van Twente. (2021). "Persconferentie na ransomware-aanval". https://hofvantwente.nl
