NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

BIO Pentest: Baseline Informatiebeveiliging Overheid 2.0 voor Nederlandse Overheidsorganisaties

De Baseline Informatiebeveiliging Overheid (BIO) is het verplichte normenkader voor informatiebeveiliging voor alle Nederlandse overheidsorganisaties: Rijksoverheid (ministeries, agentschappen, uitvoeringsorganisaties), provincies, gemeenten, waterschappen en gemeenschappelijke regelingen. De BIO 2.0, die in 2024 is bijgewerkt om aan te sluiten bij de NEN-EN-ISO/IEC 27001:2022 standaard en de actuele dreigingsontwikkelingen, stelt concrete eisen aan technische beveiligingsmaatregelen. Penetratietesten zijn een integraal onderdeel van het BIO-normenkader: zij leveren het bewijs dat de technische beveiligingsmaatregelen daadwerkelijk effectief zijn — niet alleen aanwezig op papier. Operatie BES (Beveiliging Essentiële Systemen), het overheidsbrede programma voor de beveiliging van kritieke digitale systemen bij de Rijksoverheid, heeft penetratietesten als prioriteitsmaatregel aangemerkt. Deze gids legt uit wat BIO 2.0 vereist, welke organisaties verplicht zijn, en hoe u een BIO-conform penetratietestprogramma opzet.

Start de BIO pentest
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom BIO 2.0 penetratietesten verplicht maakt voor overheidsorganisaties

De BIO is een 'pas-toe-of-leg-uit'-norm: overheidsorganisaties die niet volledig aan de BIO voldoen, moeten dit verantwoorden aan hun opdrachtgever (Ministerraad, GS, B&W) en — bij gemeenten — aan de gemeenteraad via de jaarlijkse ENSIA-verantwoording (Eenduidige Normatiek Single Information Audit). De BIO 2.0 is gebaseerd op de NEN-EN-ISO/IEC 27001:2022 standaard en bevat aanvullende, specifiek voor de overheid geldende 'BIO-maatregelen'. Voor penetratietesten is ISO/IEC 27001:2022 Annex A controle A.8.29 ('Beveiligingstesten in ontwikkeling en acceptatie') de primaire grondslag, aangevuld met A.8.8 ('Beheer van technische kwetsbaarheden'). BIO 2.0 Maatregel 12.6.1 (gebaseerd op ISO 27002 §12.6.1) vereist dat organisaties tijdig informatie over technische kwetsbaarheden verkrijgen en op basis van een risicoanalyse maatregelen nemen. De NCSC-NL beveiligingsrichtlijnen voor webapplicaties (versie 2.0, 2023) en voor netwerken, die als aanvulling op de BIO gelden, verwijzen expliciet naar penetratietesten en kwetsbaarheidsbeoordelingen als vereiste technische maatregelen. Voor gemeenten geldt aanvullend de DigiD-beveiligingsaudit van Logius: gemeenten die DigiD gebruiken voor online dienstverlening moeten jaarlijks een ICT-beveiligingsaudit laten uitvoeren die penetratietestcomponenten omvat, anders dreigt intrekking van de DigiD-aansluiting.

  • BIO 2.0 Maatregel A.8.8 (Beheer van technische kwetsbaarheden): verplichting tot het tijdig identificeren, beoordelen en verhelpen van technische kwetsbaarheden in informatiesystemen — penetratietesten zijn een erkende methode om exploiteerbaarheid van kwetsbaarheden te bevestigen en te prioriteren.
  • BIO 2.0 Maatregel A.8.29 (Beveiligingstesten in ontwikkeling en acceptatie): verplichting om beveiligingstesten uit te voeren op informatiesystemen vóór inproductiename en na significante wijzigingen — inclusief penetratietesten voor systemen die vertrouwelijke gegevens verwerken.
  • ENSIA-verantwoording voor gemeenten: het Eenduidige Normatiek Single Information Audit (ENSIA)-systeem verplicht gemeenten tot jaarlijkse zelfbeoordeling op de BIO en sectorale normen (DigiD, Suwinet, BAG, BGT) — de ENSIA-vragenlijst omvat expliciete vragen over penetratietestfrequentie en -resultaten.
  • DigiD-beveiligingsaudit (Logius ICT-beveiligingsassessment): gemeenten en andere organisaties die DigiD aanbieden, moeten jaarlijks een ICT-beveiligingsassessment laten uitvoeren dat penetratietestcomponenten omvat conform de Norm ICT-beveiliging DigiD (versie 2.5, 2023); niet-naleving kan leiden tot intrekking van de DigiD-aansluiting.
  • Operatie BES (Beveiliging Essentiële Systemen): het Rijksbrede programma dat de beveiliging van kritieke digitale systemen bij de Rijksoverheid verbetert, heeft penetratietesten aangemerkt als prioriteitsmaatregel voor departementale systemen die worden geclassificeerd als essentieel voor de continuïteit van vitale overheidsfuncties.
  • NIS2/Cbw voor overheidsorganisaties: overheidsdiensten vallen doorgaans binnen het toepassingsgebied van de Cybersecuritywet als 'overheidsinstanties' (Bijlage I NIS2), met aanvullende verplichtingen voor beveiligingstesten naast de BIO-vereisten.
  • Rijks-CISO-circulaires: de Rijks-CISO (Chief Information Security Officer van het Rijk) publiceert periodiek circulaires met verplichte beveiligingsmaatregelen voor Rijksoverheidsinstellingen — recente circulaires (2023, 2024) benadrukken penetratietesten van externegerichte systemen als prioriteit.

Wat een BIO-conform penetratietest voor overheidsorganisaties omvat

  • Externegerichte webapplicaties en portals: gemeentelijke websites, burgerzakenportals, omgevingsloket.nl-koppelingen, Mijn Overheid-integraties — conform NCSC-NL beveiligingsrichtlijnen voor webapplicaties versie 2.0 en OWASP Top 10 (2021).
  • DigiD-integraties en BSN-verwerking: systemen die DigiD-authenticatie implementeren en Burgerservicenummers (BSN) verwerken vereisen extra aandacht — kwetsbaarheden in deze systemen kunnen leiden tot directe intrekking van de DigiD-aansluiting door Logius.
  • Authentica­tie en toegangsbeheer voor gemeentelijke systemen: Active Directory-configuratie, beheer van bevoorrechte accounts (beheerders, CISO-medewerkers), MFA-implementaties voor remote access en beheerders — bekende kwetsbaarheden: CVE-2021-42278 (noPac samAccountName spoofing), CVE-2020-1472 (Zerologon Netlogon).
  • Suwinet-Inkijk en sociaal-domein systemen: systemen die toegang bieden tot Suwinet-gegevens (uitkeringsgegevens, arbeidsmarktinformatie) zijn bijzonder kritiek vanwege de gevoeligheid van de verwerkte persoonsgegevens — Suwinet-norm vereist beveiligingstesten.
  • Netwerksegmentatie en OT/IT-scheiding: voor overheidsorganisaties met operationele technologie (waterschappen, nutsbedrijven in overheidsbeheer) is scheiding van IT- en OT-netwerken een BIO-vereiste die via penetratietesten moet worden geverifieerd.
  • Cloudmigraties en SaaS-implementaties: overheidsorganisaties migreren in toenemende mate naar cloudplatformen (Microsoft 365 Government, Azure Government) — beveiligingstesten van cloudconfiguaties zijn een prioriteit in het kader van BIO 2.0 Maatregel A.8.23 (Webfiltering) en A.5.23 (Informatiebeveiliging bij gebruik van clouddiensten).
  • Patching en kwetsbaarheidsbeheer: gemeenten en uitvoeringsorganisaties worstelen systematisch met patchmanagement — penetratietesten identificeren welke niet-gepatchte kwetsbaarheden daadwerkelijk exploiteerbaar zijn, conform BIO 2.0 Maatregel A.8.8.
  • Logging en audittrails: overheidsorganisaties zijn verplicht tot adequate logging van beveiligingsrelevante gebeurtenissen (BIO 2.0 Maatregel A.8.15) — penetratietesten verificeren of aanvalsactiviteiten worden gedetecteerd en gelogd, en of de audittrail integer is.
  • BIO-audit en ENSIA-documentatie: Matproof Sentinel genereert rapportage die direct aansluit bij de ENSIA-vragenlijstvereisten voor gemeenten en bij de auditdocumentatievereisten voor Rijksoverheidsorganisaties.
  • Kritieke registraties: BRP (Basisregistratie Personen), BAG (Basisregistratie Adressen en Gebouwen), WOZ-registratie — systemen die basisregistraties verwerken vereisen bijzondere aandacht vanwege de gevoeligheid en het brede gebruik van de gegevens.

Voorbeeldbevinding

Kritiek

Onbeveiligde DigiD-koppeling — BSN-gegevens toegankelijk zonder DigiD-authenticatie

Tijdens het penetratietest van de gemeentelijke webapplicatie voor de aanvraag van uittreksels is een IDOR-kwetsbaarheid (Insecure Direct Object Reference, OWASP A01:2021 Broken Access Control) geïdentificeerd in de DigiD-koppeling. Door manipulatie van de 'aanvraag-id' parameter in de REST-API-aanroep is het mogelijk uittreksels en BSN-gegevens van andere burgers op te vragen zonder DigiD-authenticatie van de betreffende burger. De API-eindpunten controleren alleen of de aanvrager is geauthenticeerd via DigiD, maar valideren niet of de aanvrager gerechtigd is de specifieke aanvraag in te zien. De kwetsbaarheid geeft toegang tot BSN, adresgegevens en geboortedata van alle burgers die via het portal een aanvraag hebben ingediend (naar schatting 15.000 records). CVE-2023-29489 (IDOR in similaire overheidsapplicaties) illustreert de prevalentie van dit aanvalstype. Een dergelijke kwetsbaarheid vereist onmiddellijke melding bij de Autoriteit Persoonsgegevens (AVG Art. 33 Cbw) en bij Logius (DigiD-norm).

Oplossing: Implementeer object-level autorisatiecontroles in alle API-eindpunten: valideer bij elk verzoek of de geauthenticeerde gebruiker gerechtigd is de specifieke resource te benaderen, niet alleen of de gebruiker is geauthenticeerd. Implementeer een volledige autorisatiegraph die definieert welke gebruiker toegang heeft tot welke aanvragen. Voer een volledige codereview uit van alle API-eindpunten op IDOR-kwetsbaarheden. Meld de kwetsbaarheid bij de Functionaris voor Gegevensbescherming en beoordeel de meldplicht bij de AP (AVG Art. 33). Informeer Logius conform de DigiD-beveiligingsnorm meldprocedure.

Referentie: OWASP A01:2021 Broken Access Control · CWE-639 Authorization Bypass Through User-Controlled Key · DigiD Norm ICT-beveiliging v2.5 §4.2 Autorisatiebeheer · BIO 2.0 Maatregel A.8.3 (Beperking toegang tot informatie) · AVG Art. 32 §1 (technische maatregelen) · UAVG Art. 1

BIO pentest: vergelijking van aanpakken voor overheidsorganisaties

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

BIO-conforme pentestaanbiedingen voor de overheid

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over BIO penetratietesten voor overheidsorganisaties

Welke overheidsorganisaties zijn verplicht aan de BIO te voldoen?

De BIO is verplicht voor alle Nederlandse overheidsorganisaties: Rijksoverheid (ministeries, uitvoeringsorganisaties, agentschappen zoals RVO, DUO, UWV, SVB), provincies (12), gemeenten (342), waterschappen (21), en gemeenschappelijke regelingen. Tevens van toepassing op overheidsbedrijven en -instellingen die namens de overheid diensten verlenen. De BIO is vastgesteld door de Rijksoverheid, het Interprovinciaal Overleg (IPO), de Vereniging van Nederlandse Gemeenten (VNG) en de Unie van Waterschappen als gezamenlijk normenkader.

Hoe is de DigiD-beveiligingsaudit gerelateerd aan de BIO?

De DigiD-beveiligingsaudit (formeel: ICT-beveiligingsassessment DigiD, uitgevoerd conform de Norm ICT-beveiliging DigiD van Logius) is een aanvullende jaarlijkse auditplicht voor organisaties die DigiD aanbieden als authenticatiemiddel. De DigiD-norm is gebaseerd op de BIO maar voegt aanvullende, DigiD-specifieke beveiligingsvereisten toe. De audit wordt uitgevoerd door een geregistreerde IT-auditor (RE of CISA) en omvat penetratietestcomponenten. Gemeenten die de jaarlijkse DigiD-audit niet of onvoldoende uitvoeren, riskeren intrekking van hun DigiD-aansluiting — wat directe gevolgen heeft voor online dienstverlening aan burgers.

Wat is ENSIA en hoe hangen penetratietesten samen met de ENSIA-verantwoording?

ENSIA (Eenduidige Normatiek Single Information Audit) is het systeem waarmee gemeenten jaarlijks verantwoording afleggen over de informatiebeveiliging van gemeentelijke systemen aan de gemeenteraad en toezichthouders. De ENSIA-vragenlijst bevat expliciete vragen over: de uitvoering van penetratietesten (ja/nee, frequentie, reikwijdte); de bevindingen van uitgevoerde testen; de opvolging van bevindingen; de kwalificaties van de gebruikte tester. Gemeenten die 'nee' antwoorden op penetratiestestvragen in ENSIA moeten dit verantwoorden — herhaalde 'nee'-antwoorden trekken de aandacht van het VNG Auditcomité en kunnen leiden tot gerichte aandacht van de Rijksinspecties.

Hoe verhoudt BIO 2.0 zich tot ISO 27001:2022?

BIO 2.0 is gebaseerd op NEN-EN-ISO/IEC 27001:2022 en NEN-EN-ISO/IEC 27002:2022. De BIO neemt de volledige Annex A van ISO 27001:2022 over als basisnorm en voegt daar 'BIO-maatregelen' aan toe die specifiek zijn voor de Nederlandse overheidscontext (zoals de DigiD-norm, Suwinet-norm, BRP-koppeling en rijksoverheidsspecifieke maatregelen). Een organisatie die is gecertificeerd voor ISO 27001:2022 voldoet aan een groot deel van de BIO-vereisten, maar niet automatisch volledig: de BIO-maatregelen vereisen aanvullende aandacht.

Hoe frequent moeten penetratietesten worden uitgevoerd onder BIO 2.0?

BIO 2.0 schrijft geen vaste minimumfrequentie voor — de vereiste frequentie is risicogebaseerd conform Art. A.8.8 (Beheer van technische kwetsbaarheden). De NCSC-NL Beveiligingsrichtlijnen en de DigiD-norm bevatten aanvullende richtsnoeren: jaarlijkse penetratietest voor systemen die persoonsgegevens verwerken of publieke diensten ondersteunen; penetratietest na significante wijzigingen in architectuur of applicaties; de DigiD-norm vereist een jaarlijkse audit. Operatie BES heeft aanbevolen dat departementale essentiële systemen minimaal jaarlijks worden getest. In de praktijk verwacht de CISO-Rijk voor Rijksoverheidsinstanties jaarlijkse penetratietesten voor alle externegerichte systemen.

Hoe gaat u om met gevoelige gegevens die tijdens een penetratietest van een overheidsorganisatie worden gevonden?

Voor overheidsorganisaties gelden bijzondere verplichtingen: BSN-verwerking valt onder de UAVG en de Wet gebruik BSN in de zorg; een IDOR-kwetsbaarheid die BSN's blootstelt is een datalek dat moet worden gemeld bij de AP (AVG Art. 33). Niet-gerubriceerde rijksinformatie valt onder het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI); gerubriceerde informatie die tijdens een test wordt aangetroffen, moet onmiddellijk worden gemeld via de beveiligingsautoriteit. Matproof heeft procedures voor het omgaan met gevoelige overheidsgegevens: minimale toegang, onmiddellijke notificatie bij gevoelige bevindingen, pseudonimisering in rapporten.

Kunnen gemeenten de BIO-pentest uitbesteden en aan welke eisen moet de aanbieder voldoen?

Ja — gemeenten kunnen penetratietesten uitbesteden aan externe aanbieders, wat in de praktijk het meest gebruikelijk is. Vereisten aan de aanbieder: relevante technische certificeringen (OSCP, CREST CPSA/CRT of vergelijkbaar); aantoonbare ervaring met overheidssystemen (DigiD-koppelingen, BRP, Suwinet); de aanbieder moet worden aangemerkt als verwerker conform AVG Art. 28 en een verwerkersovereenkomst afsluiten met de gemeente; de aanbieder moet bereid zijn bevindingen te melden conform de gemeentelijke rapportagevereisten voor ENSIA. Voor de DigiD-audit moet de aanbieder aanvullend voldoen aan de Logius-vereisten voor ICT-beveiligingsassessors.

Wat zijn de risico's voor gemeenten die geen of onvoldoende penetratietesten uitvoeren?

Gemeenten die geen adequate penetratietesten uitvoeren lopen de volgende risico's: negatieve ENSIA-verantwoording en politieke aandacht vanuit de gemeenteraad; risico op intrekking van de DigiD-aansluiting door Logius bij tekortkomende DigiD-audits; reputatieschade bij datalekken waarbij had kunnen worden vastgesteld dat de kwetsbaarheid via een penetratietest was te ontdekken; boetes van de Autoriteit Persoonsgegevens (AP) tot 20 miljoen euro of 4% van de jaaromzet bij tekortkomende technische maatregelen (AVG Art. 83); aansprakelijkheid van de gemeente tegenover gedupeerde burgers bij BSN-lekken of fraude als gevolg van onvoldoende beveiligde systemen.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Start uw BIO 2.0 conforme pentest

Matproof Sentinel biedt gestructureerde penetratietesten voor overheidsorganisaties die aansluiten bij de BIO 2.0 normen, de DigiD-beveiligingsaudit en de ENSIA-verantwoording. Verkrijg in 3 minuten inzicht in uw kwetsbaarheidsblootstelling — zonder registratie. Inclusief ENSIA-vriendelijke rapportage en DigiD-norm-referenties.

Start de BIO pentest