Informatieveiligheid is in 2026 geen apart hokje meer naast de dagelijkse dienstverlening, maar de ruggengraat ervan. BIO, NIS2 en de AI Act komen nu samen op één bureau, en wie ze los van elkaar blijft behandelen, verliest tijd, geld én grip. Wij helpen overheden en mkb om die drie sporen tot één werkbaar verhaal te smeden.
De afgelopen jaren stapelden de kaders zich op: de BIO als baseline voor de overheid, NIS2 als Europese zorgplicht met bestuurlijke aansprakelijkheid, en de AI Act die risicovolle AI-toepassingen aan banden legt. Los van elkaar zijn het drie indrukwekkende documenten. Samen vormen ze een doolhof, zeker voor organisaties die hun beveiliging nog projectmatig en niet structureel hebben ingericht.
Het kantelpunt zit hem niet in nóg een norm, maar in de verwachting. Toezichthouders, ketenpartners en inwoners gaan ervan uit dat informatieveiligheid aantoonbaar onder controle is. Aantoonbaar is het sleutelwoord: niet alleen beleid op papier, maar werkende maatregelen die u kunt laten zien.
De vernieuwde BIO sluit dichter aan op de internationale ISO 27001-systematiek en verschuift het accent van afvinklijstjes naar risicomanagement. Dat is goed nieuws, want het maakt de BIO bruikbaar als fundament onder alle andere verplichtingen. Wie zijn risicoanalyse, maatregelen en verantwoording op orde heeft, staat ook bij NIS2 en de AI Act een stuk steviger.
In de praktijk zien wij dat veel gemeenten, waterschappen en uitvoeringsorganisaties hun BIO-implementatie nog teveel als ENSIA-verantwoording behandelen: een jaarlijkse piek richting de zelfevaluatie. De winst zit in het omdraaien daarvan, waarbij de zelfevaluatie het logische sluitstuk is van een proces dat het hele jaar loopt.
Het grootste verschil dat NIS2 maakt, is niet technisch maar bestuurlijk. De richtlijn legt de verantwoordelijkheid expliciet bij het bestuur, met persoonlijke aansprakelijkheid en een meldplicht bij incidenten binnen strakke termijnen. Informatieveiligheid is daarmee definitief een agendapunt voor het college en de directie geworden, niet alleen voor de CISO.
Voor veel organisaties betekent dit dat de ketenafhankelijkheid scherp in beeld moet komen. Welke leveranciers zijn kritiek? Wat gebeurt er als die uitvallen of gehackt worden? NIS2 dwingt om die vragen vooraf te beantwoorden, in plaats van tijdens een crisis. Een goede leveranciersbeoordeling en een geoefend incidentproces zijn hier het halve werk.
AI is in 2026 geen experiment meer, maar staat in chatbots, fraudedetectie, beeldherkenning en besluitondersteuning. De AI Act deelt toepassingen in naar risico, en juist de overheid komt snel in de hogere categorieën terecht: alles wat raakt aan rechten, voorzieningen of handhaving telt zwaar mee.
AI-governance is daarmee een verlengstuk van informatieveiligheid geworden. U moet weten welke modellen u gebruikt, met welke data ze getraind zijn, hoe u uitlegbaarheid en menselijk toezicht borgt, en hoe u bias en datalekken voorkomt. Wij adviseren om AI-toepassingen op te nemen in hetzelfde risicoregister als uw overige systemen, zodat governance geen losse koker wordt maar onderdeel van het geheel.
De grootste valkuil is om BIO, NIS2 en de AI Act door drie verschillende teams te laten oppakken, elk met een eigen tijdlijn en taal. Dat leidt tot dubbel werk, tegenstrijdige documenten en een bestuur dat door de bomen het bos niet meer ziet. De drie kaders delen namelijk dezelfde kern: ken uw risico's, neem passende maatregelen, en kunt u dat aantonen.
Wij brengen die sporen samen in één informatieveiligheidsbeleid met één risicoregister, één set maatregelen en één verantwoordingsritme. Dat scheelt niet alleen werk, het maakt het verhaal richting toezichthouder en bestuur ook geloofwaardig. Best Value-denken helpt daarbij: niet alles tegelijk willen, maar prioriteren op wat het meeste risico afdekt voor de minste moeite.
Begint u liever met een nulmeting? Een korte informatieveiligheidsscan laat zien waar u staat ten opzichte van BIO, NIS2 en de AI Act, en welke stappen het meeste opleveren. Voor mkb en publieke organisaties zijn er bovendien regelmatig vouchers en subsidies beschikbaar die de eerste stappen betaalbaar maken.
Wilt u sparren over hoe u deze drie sporen tot één werkbaar beleid brengt? Neem gerust contact met ons op. We denken graag een uur vrijblijvend mee, zonder verplichting en zonder jargon, gewoon over wat in uw situatie het verschil maakt.