Gebruik de BIO als basis voor beveiligingseisen bij ICT-inkoop. PIANOo legt uit hoe je met inkoopvoorwaarden leveranciers kunt toetsen op BIO-eisen. PIANOo – Expertisecentrum Aanbesteden+1
Let op de BIO2, de herziening van de BIO: deze is moderner, sluit beter aan op actuele dreigingen (zoals ketenrisico’s) en bevat expliciete risicogebaseerde aanpak. aboutict
Voor semi-overheid kan het belangrijk zijn dat de contracten informatiebeveiligingsmaatregelen bevatten die passen bij de BIO2-risicoafwegingen. Zoals inkoopadvies over welke van de BIO-voorschriften “van toepassing moeten zijn bij aanbesteding” zegt Joost Lucassen: “Bij nieuwe informatiesystemen moet een expliciete risicoafweging worden uitgevoerd … Voorafgaand aan het afsluiten van de overeenkomst geeft de leverancier inzicht in de keten van toeleveranciers …” inkooppub.nl
ICO-eisen (Inkoopeisen Cybersecurity Overheid)
De ICO-Wizard van PIANOo / CIP is een zeer bruikbaar hulpmiddel om specifieke inkoopbeveiligingseisen te selecteren op basis van risico’s, type dienst of product, clouddiensten, toegangsbeveiliging, etc. PIANOo – Expertisecentrum Aanbesteden+1
In je aanbestedingen kun je eisen opnemen dat leveranciers periodiek audits of penetratietesten laten uitvoeren en verantwoording afleggen (bijv. ISO 27001 / ISAE-verklaringen) om te controleren op naleving van beveiligingsmaatregelen. PIANOo – Expertisecentrum Aanbesteden
Zorg dat leveranciers keten-informatie geven: welke sub-leveranciers gebruiken ze, hoe worden die beveiligd, en wat gebeurt er als kwetsbaarheden worden ontdekt of gemeld.
NIS2-regelgeving (Cyberbeveiligingswet)
Semi-overheidsinstellingen vallen mogelijk onder NIS2 (afhankelijk van hun rol / “essentiële dienst”), wat extra zorgplicht, meldplicht én toezicht kan betekenen. VNG+2VNG+2
Inkoop moet hierop anticiperen: in je Programma van Eisen (PvE) kun je cybersecurity- en incidentmeldingsmechanismen afdwingen, zodat leveranciers voorbereid zijn op deze verplichtingen.
Maak een risicobeoordeling van je leveranciersportefeuille en analyseer in hoeverre toeleveranciers van ICT-diensten jouw keten kunnen beïnvloeden (risico’s op beschikbaarheid, beveiliging, compliance).
Samenhang in overheidsbreed beleid
Volgens het Kamerstuk Inkoopbeleid van de Overheid moet de overheid “digitale veilige ICT-producten en -diensten” inkopen. Officiële Bekendmakingen
Semi-overheden kunnen baat hebben bij aansluiting op gemeenschappelijke overheidsinitiatieven: gezamenlijke inkoop van beveiligingscertificering, gezamenlijke aanbestedingen of het delen van best practices.
Let op de “werkagenda Waardengedreven Digitaliseren” waarin overheden expliciet aangeven dat ze 100% van ICT-inkopen veilig willen inrichten volgens inkoopeisen cybersecurity. Open Overheid
Ketenrisico & leveranciers-afhankelijkheid
Vraag in aanbestedingen specifiek naar de ketenstructuur van ICT-leveranciers: welke toeleveranciers (subcontractors) zijn er, hoe is de beveiliging geregeld bij hen?
Neem contractclausules op voor wijzigingsmeldingen: leveranciers moeten wijzigingen in hun keten (bijv. nieuwe sub-leveranciers) melden, zodat je de risico’s kunt herbeoordelen (dit past ook bij de BIO2-aanpak).
Voorzie in exit-scenario’s in je contracten: wat gebeurt er met data, welke fallback-opties zijn er als een leverancier wegvalt of niet meer voldoet aan beveiligingseisen.
Verantwoording & audit
Zet gedurende de levensduur van het contract in op monitoring: audits, penetratietesten, rapportageverplichtingen, verificatie van certificaten (ISO, etc.).
Zorg dat je als inkoper samenwerkt met je security-afdeling (of informatiemanager) om de naleving te beoordelen en te escaleren bij afwijkingen of risico’s.
Leg in je interne processen vast wie verantwoordelijk is voor beveiligings-compliance bij ingekochte ICT: inkoop, risicomanagement, security — en maak heldere afspraken over verantwoordelijkheden.
Strategische inkoop & governance
Overweeg strategische inkoop: ICT-inkoop is niet alleen tactisch (prijs, levering), maar ook strategisch (continuïteit, veiligheid, reputatie).
Stel een governance-structuur in binnen je organisatie (semi-overheid) waarbij inkoop, IT en security gezamenlijk beoordelen wat je vraagt van leveranciers.
Stimuleer leveranciers om veilige producten te leveren: gebruik beveiligingscriteria in gunningscriteria (niet alleen “laagste prijs”).
Wet- en regelgeving in de toekomst
Blijf op de hoogte van relevante EU- of nationale regelgeving: niet alleen NIS2, maar ook andere cyberregels zoals de Cyber Resilience Act (CRA) kunnen van invloed zijn op ICT-inkoop.
Houd ontwikkelingen rond de BIO2, Cyberbeveiligingswet, en andere veiligheidsnormen in de gaten zodat je inkoopprocessen tijdig aangepast zijn.