Coornhert
feee871c31
40.566 regelingen geparsed van BWB XML naar Markdown + YAML frontmatter. Bron: repository.officiele-overheidspublicaties.nl via SRU zoekservice. Verdeling per type: - 21.167 ministeriële regelingen - 4.605 ZBO-regelingen - 3.678 verdragen - 3.631 AMvB's - 3.179 wetten - 2.564 PBO-regelingen - 883 KB's - 591 circulaires - 150 beleidsregels - 118 rijkswetten 0 parse failures. 110.531 SRU records verwerkt. |
||
|---|---|---|
| .. | ||
| README.md | ||
| titel | bwb_id | type | status | datum_inwerkingtreding | bron | citeertitel |
|---|---|---|---|---|---|---|
| Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025 | BWBR0051482 | ministeriele-regeling | geldend | 2025-09-09 | https://wetten.overheid.nl/BWBR0051482 | Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025 |
Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025
Artikel 1
In dit besluit wordt verstaan onder:
- accreditatie: het verlenen van toestemming voor ontvangst, beheer, vernietiging en verwerking van gerubriceerde informatie;
- bijzondere informatie: informatie waar kennisname door niet-geautoriseerden nadelige gevolgen kan hebben voor de (vitale) belangen van de Nederlandse staat, voor zijn bondgenoten of voor één of meer ministeries;
- compromittering: kennisname dan wel mogelijkheid tot kennisname van bijzondere informatie door niet geautoriseerden;
- informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie;
- Rijksdienst: alle organisatieonderdelen waarvoor de ministeriële verantwoordelijkheid onverkort geldt;
- rubriceren: bepalen van het rubriceringsniveau en -duur van de bijzondere informatie op basis van de te verwachten nadelige gevolgen voor de vitale belangen van Nederland en de Nederlandse staat, voor zijn bondgenoten of voor één of meer ministeries als (een deel van) deze informatie bekend wordt bij niet-geautoriseerden;
- rubriceringsambtenaar: ambtenaar bevoegd tot het vaststellen van rubriceringen, hiertoe gemandateerd door de secretaris-generaal;
- rubriceringsniveau: aanduiding van de verwachte nadelige gevolgen voor de vitale belangen van Nederland en de Nederlandse staat, voor zijn bondgenoten of voor één of meer ministeries als de informatie of een deel daarvan bekend wordt bij niet- geautoriseerden;
- vaststeller van de rubricering: minister, staatssecretaris, secretaris-generaal of een door de secretaris-generaal gemandateerd rubriceringsambtenaar;
- verwerking: een bewerking of een geheel van bewerkingen met betrekking tot bijzondere informatie, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van bijzondere informatie;
- zorgdrager: degene die bij of krachtens de wet belast is met de zorg voor de archiefbescheiden.
Artikel 2
1. Dit besluit geldt voor de Rijksdienst.
2. Dit besluit is van toepassing op de beveiliging van bijzondere informatie van de Rijksdienst onverminderd het bepaalde in het Besluit voorschrift informatie beveiliging rijksdienst 2007 (VIR 2007), het Besluit BVA-stelsel Rijksdienst 2021 en het Besluit CIO-stelsel Rijksdienst 2021.
3. Bijzondere informatie die krachtens een verdrag of internationale overeenkomst is verkregen, behoudt de toegekende rubricering en wordt beveiligd volgens het overeenkomstige nationale beveiligingsniveau. Voor zover voor de beveiliging van dergelijke informatie als gevolg van het verdrag of de internationale overeenkomst afwijkende bepalingen bestaan worden deze bepalingen toegepast.
Artikel 3
1.
Het ministeriële beveiligingsbeleid dat door de secretaris-generaal van het betreffende ministerie wordt vastgesteld omvat ten minste de uitgangspunten voor de beveiliging van, de toegang tot, het omgaan met en verwerken van bijzondere informatie zoals bedoeld in dit voorschrift en de wijze waarop:
a. a. het ministerie informatie rubriceert; b. b. de secretaris-generaal van het betreffende ministerie vooraf accreditatie verleent voor het verwerken van bijzondere informatie; c. c. het ministerie toezicht uitoefent op de beveiliging van bijzondere informatie.
2.
De beveiligingsautoriteit dan wel beveiligingsautoriteit Rijk heeft de volgende taken:
a. a. het bewaken van het integrale karakter en de consistentie van rijksbrede kaders voor integrale beveiliging, het bevorderen van een departementale dan wel interdepartementale aanpak van beveiligingsvraagstukken, alsmede het toezicht op de werking van de integrale beveiliging van de Rijksdienst; b. b. de coördinatie van de integrale aanpak van de beveiliging van gerubriceerde informatie; c. c. wanneer er sprake is van een inbreuk op de beveiliging, worden onmiddellijk maatregelen dan wel noodmaatregelingen getroffen om verdere inbreuk te voorkomen; d. d. het onderzoeken of en wanneer compromittering van bijzondere informatie heeft plaatsgevonden. Indien dit het geval is, doen zij hiervan mededeling aan de secretaris-generaal en adviseren zij over de noodzaak om een commissie van onderzoek in te stellen. Tevens doen zij, indien van toepassing, melding conform de geldende wet- en regelgeving.
3. De beveiligingsautoriteit dan wel beveiligingsautoriteit Rijk betrekt bij zijn taken, genoemd in het tweede lid, het advies van de chief information officer dan wel chief information officer Rijk wanneer beveiligingsvraagstukken een digitale component hebben.
Artikel 4
1. Informatie waarvan de geheimhouding vanwege de vitale belangen van Nederland en de Nederlandse staat, van zijn bondgenoten of één of meer ministeries is geboden, moet worden voorzien van een passend niveau van rubricering.
2.
Bijzondere informatie wordt als volgt gerubriceerd:
a. a. Staatsgeheim ZEER GEHEIM, afgekort ‘Stg.ZG’ of ‘Stg. ZEER GEHEIM’, indien kennisname door niet-geautoriseerden zeer ernstige schade kan toebrengen aan een van de vitale belangen van Nederland en de Nederlandse staat, of zijn bondgenoten; b. b. Staatsgeheim GEHEIM, afgekort ‘Stg.G‘ of ‘Stg. GEHEIM‘, indien kennisname door niet-geautoriseerden ernstige schade kan toebrengen aan een van de vitale belangen van Nederland en de Nederlandse staat, of zijn bondgenoten; c. c. Staatsgeheim CONFIDENTIEEL, afgekort ‘Stg.C’ of ‘Stg. CONFIDENTIEEL’, indien kennisname door niet-geautoriseerden schade kan toebrengen aan een van de vitale belangen van Nederland en de Nederlandse staat, of zijn bondgenoten; d. d. Departementaal VERTROUWELIJK, afgekort ‘Dep.V’ of ‘Dep. VERTROUWELIJK’, indien kennisname door niet-geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries of bondgenoten van de Nederlandse staat.
3. De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.
Artikel 5
1. Rubriceringen worden verbonden aan een maximum tijdsverloop of aan een bepaalde gebeurtenis. Na die periode of na die gebeurtenis weegt de vaststeller van bijzondere informatie af of herziening, dan wel beëindiging van de rubricering, aan de orde is.
2.
Van het eerste lid kan worden afgeweken in die gevallen waarin de rubricering betrekking heeft op:
a. a. Bijzondere informatie die krachtens een verdrag of internationale overeenkomst is verkregen; b. b. Staatsgeheimen die door de wet als zodanig zijn aangewezen.
3. Uitsluitend de vaststeller van de rubricering is bevoegd de rubricering te herzien of te beëindigen.
4. Bij overbrenging van bijzondere informatie naar een rijksarchiefbewaarplaats als bedoeld in de Archiefwet 1995 vervalt de rubricering, tenzij de zorgdrager, na advies van de algemene rijksarchivaris en de rubriceringsambtenaar, bepaalt dat deze gehandhaafd dan wel herzien moet worden.
Artikel 6
1.
Bijzondere informatie en de verwerking ervan worden zodanig beveiligd dat:
a. a. alleen personen die daartoe zijn geautoriseerd, de informatie verwerken voor zover dit noodzakelijk is voor een goede uitoefening van hun taak; b. b. passende maatregelen zijn getroffen om compromittering tijdig te detecteren, en een onderzoeksproces is ingericht voor de grondige analyse van dergelijke incidenten.
2. De beveiliging is ingericht op basis van risicomanagement. De bijlage bij dit besluit bevat de uitgangspunten en het minimale beveiligingsniveau voor de bescherming van de vertrouwelijkheid van bijzondere informatie en de verwerking ervan in informatiesystemen.
3. Bijzondere informatie die krachtens een verdrag of een internationale overeenkomst is verkregen wordt uitsluitend verwerkt nadat de autoriteit, die krachtens het betreffende verdrag verantwoordelijk is voor de beveiligingsregels ter bescherming van bijzondere informatie, haar goedkeuring aan de beveiliging heeft gegeven.
Artikel 7
1. Bij het buiten de Rijksdienst brengen van bijzondere informatie, anders dan op grond van een wettelijke verplichting tot openbaarmaking, blijven de eisen aan de beveiliging in dit besluit en het toezicht daarop onverkort van kracht.
2. Bijzondere informatie die krachtens een verdrag of een internationale overeenkomst is verkregen wordt uitsluitend na voorafgaande toestemming van het land of de internationale organisatie van herkomst doorgegeven aan externe partijen.
Artikel 8
1. Elke ambtenaar is verplicht aan de beveiligingsautoriteit van het betreffende ministerie onmiddellijk mededeling te doen van een inbreuk of mogelijke inbreuk op de beveiliging die leidt tot compromittering van bijzondere informatie.
2. Indien de compromittering betrekking heeft op bijzondere informatie die is verkregen van een ander ministerie of krachtens een verdrag of internationale overeenkomst, doet de beveiligingsautoriteit bovendien mededeling aan het betreffende ministerie of de krachtens het verdrag of de internationale overeenkomst voor de beveiliging van die bijzondere informatie verantwoordelijke instantie.
Artikel 9
1. De secretaris-generaal stelt een commissie van onderzoek in indien sprake is van ernstige compromittering van bijzondere informatie, waarbij onafhankelijke evaluatie noodzakelijk wordt geacht om de toedracht, gevolgen en eventuele verantwoordelijkheden vast te stellen.
2.
Indien de secretaris-generaal een commissie van onderzoek instelt, stelt de commissie een onderzoek in naar:
a. a. de wijze waarop de compromittering heeft plaatsgevonden; b. b. de aard en de omvang van de schade aan de belangen van het ministerie, de vitale belangen van Nederland en de Nederlandse staat, of aan zijn bondgenoten; c. c. de te nemen maatregelen om de schade te beperken en herhaling te voorkomen.
3. De commissie voert, indien de gecompromitteerde bijzondere informatie (mede) afkomstig is van een ander ministerie, haar onderzoek uit in overleg met de BVA van dat ministerie. In het geval dat de gecompromitteerde bijzondere informatie krachtens een verdrag of internationale overeenkomst is verkregen voert de commissie haar onderzoek uit in samenwerking met de instantie die krachtens het verdrag of de internationale overeenkomst verantwoordelijk is voor de beveiliging ervan.
4. De secretaris-generaal treft, op basis van de bevindingen van de commissie van onderzoek, maatregelen om de schade die de compromittering heeft toegebracht aan de veiligheid of andere gewichtige belangen van het ministerie, aan de vitale belangen van Nederland en de Nederlandse staat, of aan zijn bondgenoten, te beperken en herhaling van de compromittering te voorkomen.
5. Indien het de compromittering van een staatsgeheim betreft, stelt de secretaris-generaal het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst in kennis van de uitkomsten van het onderzoek. In afwijking van de eerste volzin stelt de secretaris-generaal van het Ministerie van Defensie de Militaire Inlichtingen- en Veiligheidsdienst op de hoogte van de uitkomsten van het onderzoek.
Artikel 10
Dit besluit wordt drie jaar na inwerkingtreding geëvalueerd en vervolgens elke drie jaar.
Artikel 11
Rubriceringen die zijn vastgesteld vóór inwerkingtreding van dit besluit worden uiterlijk tien jaar na vaststelling door de vaststeller onderzocht op de mogelijkheid om de rubricering te herzien of te beëindigen, en voor bestaande, reeds gerubriceerde informatie, waarbij volledig wordt voldaan aan de maatregelen, genoemd in het Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2013 (VIRBI 2013), zijn organisaties gedurende een overgangsperiode van zes maanden niet gehouden te voldoen aan de hierop aanvullende maatregelen zoals deze in de bijlage bij dit besluit zijn opgenomen.
Artikel 12
Het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013) wordt ingetrokken.
Artikel 13
Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin het wordt geplaatst.
Artikel 14
Dit besluit wordt aangehaald als: Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025.
Bijlage . Uitgangspunten en minimum niveau beveiliging
Deze bijlage beschrijft de uitgangspunten en het beveiligingsniveau voor de bescherming van de vertrouwelijkheid van bijzondere informatie en de verwerking daarvan in informatiesystemen.
De voor de bescherming van vertrouwelijkheid van bijzondere informatie te nemen maatregelen worden bepaald aan de hand van een risicoanalyse, maar beslaan ten minste de in onderstaande tabellen weergegeven te hanteren uitgangspunten en te nemen maatregelen. Indien wordt afgeweken van het onderstaande wordt dat in de risicoanalyse vastgelegd met redenen omkleed inclusief eventueel aanvullende mitigerende maatregelen. Voor Dep.V wordt dit ten minste goedgekeurd door een directeur en voor STG ten minste door een DG.
Een V in de bovenstaande tabel houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.
In de volgende acht hoofdstukken komen de diverse onderdelen aan de orde.