Althans voor wat betreft de in die BIO2 opgenomen richtlijnen die raken aan inkopen. En dat zijn er maar liefst 1️⃣3️⃣!
De 'BIO versie 2' is afgelopen week formeel vastgesteld (als opvolger van de BIO versie 1) en helpt gemeenten hun informatiebeveiliging op orde te brengen. De BIO sluit aan op de Europese NIS2-richtlijn en wordt later verankerd in de Cyberbeveiligingswet waardoor naleving verplicht wordt.
In de BIO2 staan pakweg 150 voorschriften waar aan voldaan moet worden. Als voorbeeld daarvan: 'Het dataverkeer van of naar de vertrouwde omgeving, wordt bewaakt/geanalyseerd op verdacht verkeer met detectievoorzieningen.' Maar er staan dus ook meerdere voorschriften in die relevant zijn voor inkooptrajecten. Voorbeeld: Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is.
✔️ Voor wie geen zin heeft om die 150 voorschriften allemaal langs te lopen, heb ik de voor inkoop relevante richtlijnen hieronder opgenomen. Ook heb ik ze af en toe een beetje ingekort of leesbaarder gemaakt.
👉 In een aanbesteding wordt nog wel eens de eis opgenomen dat een leverancier aan de BIO moet voldoen maar gezien de richtlijnen is dat onvoldoende en moet een aanbestedende dienst ook ZELF aan de bak!
De richtlijnen
- Bij offerteaanvragen waar informatie(voorziening) een rol speelt, zijn informatiebeveiligingseisen onderdeel van het hele pakket aan inkoopeisen.
- Bij nieuwe informatiesystemen moet een expliciete risicoafweging worden uitgevoerd om risico’s te identificeren en in voldoende mate te beheersen en ook voor het vaststellen van de beveiligingseisen.
- De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de (inkoop)contracten.
- Sluit waar mogelijk algemene voorwaarden van leveranciers expliciet uit en neem eventueel aanvullende voorwaarden op.
- In het inkoopcontract wordt opgenomen dat de leverancier aantoont dat hij aan alle gestelde eisen voldoet in opzet, bestaan en werking, op basis van onderzoeken van onafhankelijke derden. Hierbij is expliciet aandacht voor de toeleveringsketen en hoe de leverancier zijn leveranciersmanagement ingeregeld heeft. Dit toont de leverancier jaarlijks opnieuw aan.
- Er wordt expliciet opgenomen dat er een mogelijkheid is voor een externe audit.
- Onderdeel van de afspraken is dat de leverancier transparant is over kwetsbaarheden in de dienstverlening en informatiebeveiligingsincidenten waaronder datalekken.
- Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie.
- In het contract is opgenomen dat de leverancier verantwoordelijk is voor het borgen van de gestelde eisen bij de toeleveranciers.
- Voorafgaand aan het afsluiten van de overeenkomst geeft de leverancier inzicht in de keten van toeleveranciers en eventuele risico’s daarin. De overheidsorganisatie beoordeelt of de risico’s acceptabel zijn.
- De overheidsorganisatie borgt dat de beveiligingseisen aan de leverancier onverminderd van toepassing zijn op de keten van toeleveranciers.
- Gedurende de looptijd geeft de leverancier veranderingen in de keten van toeleveranciers door, inclusief risico’s daarin. Dit omvat minimaal kwetsbaarheden en informatiebeveiligingsincidenten die de dienstverlening aan de overheidsorganisatie kunnen raken.
- Er is een actuele registratie van leveranciers en afgesloten contracten.
Vul hier je gegevens in en ontvang de download in je mail
Oeps! Er is iets fout gegaan, probeer het later opnieuw a.u.b.
Onze ambassadeurs
