Informatieveiligheidskompas

Het informatieveiligheidskompas: van BIO en ENSIA tot NIS2 en DORA

Informatieveiligheid is geen kwestie van één norm afvinken, maar van lagen. Voor de overheid vormen BIO en ENSIA de basislaag, en naarmate een sector gevoeliger of kritischer is, komen daar strengere kaders bovenop: NIS2 voor essentiële en belangrijke organisaties, en sectorspecifieke normen als DORA voor de financiële markten en NEN 7510 voor de zorg. In dit artikel leggen we die gelaagdheid uit — en waarom je de hogere lagen niet alleen als verplichting, maar ook als ambitie kunt gebruiken om je organisatie steeds beter te beschermen. We richten ons op de (semi)overheid, maar omdat het dreigingsbeeld elke sector raakt, geldt deze gelaagde denkwijze breder.

In het kort
  • Informatieveiligheid is gelaagd: van ISO/BIO als fundament tot sectorspecifieke kaders.
  • BIO = wát je regelt; ENSIA = hóé je je verantwoordt (op ISO 27001/27002).
  • NIS2 is voor veel overheidsorganisaties de eerstvolgende, verplichte laag.
  • Sectorlagen: DORA (financieel) en NEN 7510 (zorg) — strenger en sectorspecifiek.
  • Gebruik hogere lagen als ambitie: een maturiteitsladder, in je eigen tempo.

Waarom informatieveiligheid gelaagd is

Geen enkele organisatie is gelijk, en geen enkel gegeven is even gevoelig. Daarom werkt één universele norm niet. Informatieveiligheid is opgebouwd als een reeks lagen: een basis die voor iedereen geldt, met daarbovenop strengere eisen naarmate de impact van een incident groter is. Hoe kritischer je dienst en hoe gevoeliger je data, hoe hoger je op die ladder moet staan.

Die gelaagdheid is geen bureaucratische stapeling, maar een logische ordening. Ze helpt je bepalen wat voor jóuw organisatie passend is — en voorkomt dat je te weinig doet, of jezelf verliest in eisen die helemaal niet op jou van toepassing zijn.

De gelaagdheid loopt bovendien niet alleen omhoog, maar ook náást je: informatieveiligheid deelt het speelveld met privacy (de AVG) en, sinds kort, met AI-governance (de AI Act). Dat zijn geen treden op dezelfde ladder, maar naburige dimensies die je in samenhang bekijkt — we schreven daar een apart artikel over.

De basislaag: BIO en ENSIA

Voor de Nederlandse overheid begint alles bij de BIO, de Baseline Informatiebeveiliging Overheid: de gezamenlijke norm — gebaseerd op de internationale normen ISO 27001 en 27002 — die bepaalt wélke maatregelen je op orde moet hebben. ENSIA is de bijbehorende verantwoordingsmethode: één jaarlijkse cyclus waarin je aantoont dat je die maatregelen ook echt neemt. Kort gezegd: de BIO zegt wát je regelt, ENSIA regelt hóé je je verantwoordt.

Deze basislaag deelt elke overheidsorganisatie. Ze draait om risicomanagement — een bewuste afweging van wat kritiek is en welke bescherming daarbij past — en niet om een blinde afvinklijst. Wie deze laag op orde heeft, heeft een stevig fundament om op verder te bouwen.

Een laag hoger: NIS2

Boven de basis ligt NIS2, in Nederland uitgewerkt in de Cyberbeveiligingswet. NIS2 richt zich op essentiële en belangrijke organisaties — en daar vallen veel publieke partijen onder: gemeenten, waterschappen, en organisaties in energie, water, zorg en digitale infrastructuur. Voor hen is dit geen vrijblijvende laag, maar een verplichting.

NIS2 legt de lat hoger dan de basis: een zorgplicht met concrete risicomaatregelen, een meldplicht bij incidenten, aandacht voor je hele toeleveringsketen, en — nieuw voor velen — directe verantwoordelijkheid van bestuurders. Waar de BIO het huis op orde brengt, vraagt NIS2 om aantoonbare weerbaarheid en om bestuurlijke betrokkenheid tot in de top.

De sectorlagen: DORA en NEN 7510

Boven op de basis en NIS2 liggen sectorspecifieke lagen: kaders die alleen gelden voor wie in een bepaalde, extra gevoelige sector werkt. Voor de financiële markten is dat DORA — de Digital Operational Resilience Act, sinds begin 2025 van kracht — met strenge eisen aan ICT-risicobeheer, verplichte incidentmelding, periodieke weerbaarheidstesten en strak beheer van ICT-leveranciers. Voor de zorg is het NEN 7510, de norm (opnieuw gebouwd op ISO 27001 en 27002) waarmee zorgaanbieders de gevoelige gegevens van patiënten beschermen.

DORA en NEN 7510 gelden geen van beide voor een gemeente of waterschap — ze binden respectievelijk financiële entiteiten en zorgaanbieders. Maar samen laten ze een patroon zien: hoe gevoeliger de sector, hoe hoger én specifieker de lat. En juist dat maakt ze bruikbaar als referentie.

Van verplichting naar ambitie

Hier zit de kern van dit verhaal. Die lagen zijn niet alleen een stapeling van plichten die je moet afvinken; samen vormen ze een maturiteitsladder. En je mag omhoog kijken.

Voor een overheidsorganisatie zijn DORA en NEN 7510 geen wettelijke plicht — maar je kunt de rigueur ervan wél lenen als ambitie. Een periodieke weerbaarheidstest, strakker leveranciersbeheer, een scherpere incidentprocedure: allemaal praktijken uit een hogere laag die je vrijwillig kunt overnemen om jezelf beter te beschermen. Zo wordt een strenger kader geen last, maar een ontwikkelrichtlijn — een manier om, in je eigen tempo en op de plekken waar het ertoe doet, steeds een trede hoger te komen.

Maar waarom zou je verder willen dan de minimale plicht? Allereerst omdat de dreiging reëel is en eerder groeit dan krimpt: het dreigingsbeeld — ransomware, ketenaanvallen, statelijke actoren — wordt doorlopend gemonitord door de IBD (voor gemeenten) en het NCSC (nationaal). En verder niet om het vinkje, maar om wat eronder ligt. Een organisatie die haar informatieveiligheid echt op orde heeft, wint het vertrouwen van inwoners en ketenpartners, staat steviger als er tóch een incident gebeurt, en blijft een betrouwbare schakel voor iedereen die van haar afhankelijk is. Compliance is dan geen doel, maar het bewijs van iets waardevollers: dat je de gegevens en de dienstverlening waarop mensen rekenen serieus neemt. Dát is de echte reden om een trede hoger te willen.

Buiten de overheid: van plicht naar bewuste keuze

Voor de overheid is deze gelaagdheid grotendeels afdwingbaar: BIO, ENSIA en NIS2 zijn geen vrijblijvende adviezen. In het bedrijfsleven ligt dat anders. Op enkele sectorlagen na (zoals DORA) is er vaak geen wettelijke plicht, en maakt een onderneming haar eigen risicoafweging. Precies daar schuilt het gevaar: te weinig bestuurders realiseren zich dat het níét op orde hebben van je informatieveiligheid zélf een bedrijfsrisico is — voor continuïteit, reputatie, aansprakelijkheid en het vertrouwen van klanten.

De dreiging is namelijk niet selectief: ransomware en ketenaanvallen kijken niet of je een gemeente of een mkb-bedrijf bent. Het verschil zit in de drijfveer — bij de overheid de plicht, in het bedrijfsleven de bewuste keuze. En juist op dat snijvlak zit onze meerwaarde: de compliance-discipline uit de publieke sector combineren met het risico- en waardedenken uit het bedrijfsleven. Dezelfde ladder, twee vertrekpunten.

Waar het in de praktijk misgaat

De meest gemaakte fout is elke laag als een losse afvinklijst behandelen. Dan wordt ENSIA een race tegen de klok aan het eind van het jaar, en NIS2 een apart project dat naast de rest hangt — terwijl de kracht juist in de samenhang zit. Een tweede valkuil is versnippering: veiligheid die alleen bij de CISO of ICT ligt, terwijl de risico's, en onder NIS2 ook de verantwoordelijkheid, in de hele organisatie en tot in het bestuur zitten.

En een derde: de basis overslaan in de haast om aan een hogere laag te voldoen. Zonder een solide BIO-fundament is elke laag daarboven een schil zonder inhoud.

Zo pak je het pragmatisch aan

Behandel informatieveiligheid als een doorlopend proces en als één samenhangend geheel, niet als losse verplichtingen. Zorg eerst dat de basislaag echt staat. Bepaal daarna welke laag verplicht op jou van toepassing is — voor de meeste overheidsorganisaties is dat NIS2 — en richt je daarop. Beleg verantwoordelijkheid bij de proceseigenaren en het bestuur, niet alleen bij ICT.

En kijk bewust omhoog: kies één of twee praktijken uit een hogere laag die je als ambitie oppakt. Liever een paar maatregelen die echt werken en aantoonbaar zijn, dan een dik document dat niemand leest. Wil je weten waar je staat? Loop je basis en je NIS2-verplichtingen langs een checklist af — dan zie je zwart-op-wit waar de gaten zitten voordat je omhoog kijkt.

Zo zet je de eerste stap

Informatieveiligheid in lagen begrijpen helpt je te doen wat past: niet te weinig, niet te veel, en met een duidelijke richting om in te groeien. Precies op dat snijvlak van informatieveiligheid, compliance en publieke kaders werken wij als DWDA.

Wilt u weten op welke laag uw organisatie staat, en waar uw grootste winst zit? Doe onze gratis volwassenheidsscan en ontvang direct een rapport met concrete vervolgstappen. Liever sparren over BIO, ENSIA, NIS2 of een ambitie richting DORA-niveau? Met onze instapvouchers zetten we tegen een vaste prijs een eerste analyse neer, zonder langdurige verplichting. Neem gerust contact met ons op, dan kijken we samen waar u staat en waar u naartoe wilt.

Het lagenmodel in één beeld — van fundament tot ambitie.
Het lagenmodel in één beeld — van fundament tot ambitie.
TdW
Tom de WaardOprichter · Interim CMO & partner in digitale transformatie

Oprichter van DWDA en interim CMO. Al ruim dertig jaar — sinds 1993 — helpt Tom organisaties van mkb tot multinational met digitale strategie, marketing en transformatie. Als boegbeeld van een award-winnende digitale case bij Nutricia (Danone) won hij meerdere publieke prijzen, waaronder de Customer Data Award en de LOVIE Awards. De laatste jaren richt hij zich sterk op de publieke sector: hij helpt (semi)overheidsorganisaties, zoals Sabewa Zeeland, moderniseren en de systemen en technieken van vandaag benutten — met informatieveiligheid en compliance als fundamentele vertrekpunten. Tom vertaalt strategie naar uitvoering, met AI en governance als rode draad.

Meer over het team → Connect op LinkedIn