Direct naar content

U bent hier:

  1. Regeling
Zoek opnieuw

Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025Geraadpleegd op 25-12-2025.
Geldend van 09-09-2025 t/m heden.

Inhoudsopgave

Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025

Geraadpleegd op 25-12-2025.
Geldend van 09-09-2025 t/m heden.

Origineel opschrift en aanhef

Besluit van de Minister-President, Minister van Algemene Zaken van 21 augustus 2025, nr. 9070201, houdende voorschrift informatiebeveiliging Rijksdienst bijzondere informatie 2025

De Minister-President, Minister van Algemene Zaken,

Handelende in overeenstemming met het gevoelen van de ministerraad,

Besluit:

Artikel 1. Begripsbepalingen

In dit besluit wordt verstaan onder:

  • accreditatie: het verlenen van toestemming voor ontvangst, beheer, vernietiging en verwerking van gerubriceerde informatie;

  • bijzondere informatie: informatie waar kennisname door niet-geautoriseerden nadelige gevolgen kan hebben voor de (vitale) belangen van de Nederlandse staat, voor zijn bondgenoten of voor één of meer ministeries;

  • compromittering: kennisname dan wel mogelijkheid tot kennisname van bijzondere informatie door niet geautoriseerden;

  • informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie;

  • Rijksdienst: alle organisatieonderdelen waarvoor de ministeriële verantwoordelijkheid onverkort geldt;

  • rubriceren: bepalen van het rubriceringsniveau en -duur van de bijzondere informatie op basis van de te verwachten nadelige gevolgen voor de vitale belangen van Nederland en de Nederlandse staat, voor zijn bondgenoten of voor één of meer ministeries als (een deel van) deze informatie bekend wordt bij niet-geautoriseerden;

  • rubriceringsambtenaar: ambtenaar bevoegd tot het vaststellen van rubriceringen, hiertoe gemandateerd door de secretaris-generaal;

  • rubriceringsniveau: aanduiding van de verwachte nadelige gevolgen voor de vitale belangen van Nederland en de Nederlandse staat, voor zijn bondgenoten of voor één of meer ministeries als de informatie of een deel daarvan bekend wordt bij niet- geautoriseerden;

  • vaststeller van de rubricering: minister, staatssecretaris, secretaris-generaal of een door de secretaris-generaal gemandateerd rubriceringsambtenaar;

  • verwerking: een bewerking of een geheel van bewerkingen met betrekking tot bijzondere informatie, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van bijzondere informatie;

  • zorgdrager: degene die bij of krachtens de wet belast is met de zorg voor de archiefbescheiden.

Artikel 2. Plaatsbepaling en reikwijdte

  • 1 Dit besluit geldt voor de Rijksdienst.

  • 3 Bijzondere informatie die krachtens een verdrag of internationale overeenkomst is verkregen, behoudt de toegekende rubricering en wordt beveiligd volgens het overeenkomstige nationale beveiligingsniveau. Voor zover voor de beveiliging van dergelijke informatie als gevolg van het verdrag of de internationale overeenkomst afwijkende bepalingen bestaan worden deze bepalingen toegepast.

Artikel 3. Beveiligingsbeleid

  • 1 Het ministeriële beveiligingsbeleid dat door de secretaris-generaal van het betreffende ministerie wordt vastgesteld omvat ten minste de uitgangspunten voor de beveiliging van, de toegang tot, het omgaan met en verwerken van bijzondere informatie zoals bedoeld in dit voorschrift en de wijze waarop:

    • a. het ministerie informatie rubriceert;

    • b. de secretaris-generaal van het betreffende ministerie vooraf accreditatie verleent voor het verwerken van bijzondere informatie;

    • c. het ministerie toezicht uitoefent op de beveiliging van bijzondere informatie.

  • 2 De beveiligingsautoriteit dan wel beveiligingsautoriteit Rijk heeft de volgende taken:

    • a. het bewaken van het integrale karakter en de consistentie van rijksbrede kaders voor integrale beveiliging, het bevorderen van een departementale dan wel interdepartementale aanpak van beveiligingsvraagstukken, alsmede het toezicht op de werking van de integrale beveiliging van de Rijksdienst;

    • b. de coördinatie van de integrale aanpak van de beveiliging van gerubriceerde informatie;

    • c. wanneer er sprake is van een inbreuk op de beveiliging, worden onmiddellijk maatregelen dan wel noodmaatregelingen getroffen om verdere inbreuk te voorkomen;

    • d. het onderzoeken of en wanneer compromittering van bijzondere informatie heeft plaatsgevonden. Indien dit het geval is, doen zij hiervan mededeling aan de secretaris-generaal en adviseren zij over de noodzaak om een commissie van onderzoek in te stellen. Tevens doen zij, indien van toepassing, melding conform de geldende wet- en regelgeving.

  • 3 De beveiligingsautoriteit dan wel beveiligingsautoriteit Rijk betrekt bij zijn taken, genoemd in het tweede lid, het advies van de chief information officer dan wel chief information officer Rijk wanneer beveiligingsvraagstukken een digitale component hebben.

Artikel 4. Rubriceringen

  • 1 Informatie waarvan de geheimhouding vanwege de vitale belangen van Nederland en de Nederlandse staat, van zijn bondgenoten of één of meer ministeries is geboden, moet worden voorzien van een passend niveau van rubricering.

  • 2 Bijzondere informatie wordt als volgt gerubriceerd:

    • a. Staatsgeheim ZEER GEHEIM, afgekort ‘Stg.ZG’ of ‘Stg. ZEER GEHEIM’, indien kennisname door niet-geautoriseerden zeer ernstige schade kan toebrengen aan een van de vitale belangen van Nederland en de Nederlandse staat, of zijn bondgenoten;

    • b. Staatsgeheim GEHEIM, afgekort ‘Stg.G‘ of ‘Stg. GEHEIM‘, indien kennisname door niet-geautoriseerden ernstige schade kan toebrengen aan een van de vitale belangen van Nederland en de Nederlandse staat, of zijn bondgenoten;

    • c. Staatsgeheim CONFIDENTIEEL, afgekort ‘Stg.C’ of ‘Stg. CONFIDENTIEEL’, indien kennisname door niet-geautoriseerden schade kan toebrengen aan een van de vitale belangen van Nederland en de Nederlandse staat, of zijn bondgenoten;

    • d. Departementaal VERTROUWELIJK, afgekort ‘Dep.V’ of ‘Dep. VERTROUWELIJK’, indien kennisname door niet-geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries of bondgenoten van de Nederlandse staat.

  • 3 De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.

Artikel 5. Herzien en beëindigen van de rubricering

  • 1 Rubriceringen worden verbonden aan een maximum tijdsverloop of aan een bepaalde gebeurtenis. Na die periode of na die gebeurtenis weegt de vaststeller van bijzondere informatie af of herziening, dan wel beëindiging van de rubricering, aan de orde is.

  • 2 Van het eerste lid kan worden afgeweken in die gevallen waarin de rubricering betrekking heeft op:

    • a. Bijzondere informatie die krachtens een verdrag of internationale overeenkomst is verkregen;

    • b. Staatsgeheimen die door de wet als zodanig zijn aangewezen.

  • 3 Uitsluitend de vaststeller van de rubricering is bevoegd de rubricering te herzien of te beëindigen.

  • 4 Bij overbrenging van bijzondere informatie naar een rijksarchiefbewaarplaats als bedoeld in de Archiefwet 1995 vervalt de rubricering, tenzij de zorgdrager, na advies van de algemene rijksarchivaris en de rubriceringsambtenaar, bepaalt dat deze gehandhaafd dan wel herzien moet worden.

Artikel 6. Eisen aan de beveiliging

  • 1 Bijzondere informatie en de verwerking ervan worden zodanig beveiligd dat:

    • a. alleen personen die daartoe zijn geautoriseerd, de informatie verwerken voor zover dit noodzakelijk is voor een goede uitoefening van hun taak;

    • b. passende maatregelen zijn getroffen om compromittering tijdig te detecteren, en een onderzoeksproces is ingericht voor de grondige analyse van dergelijke incidenten.

  • 2 De beveiliging is ingericht op basis van risicomanagement. De bijlage bij dit besluit bevat de uitgangspunten en het minimale beveiligingsniveau voor de bescherming van de vertrouwelijkheid van bijzondere informatie en de verwerking ervan in informatiesystemen.

  • 3 Bijzondere informatie die krachtens een verdrag of een internationale overeenkomst is verkregen wordt uitsluitend verwerkt nadat de autoriteit, die krachtens het betreffende verdrag verantwoordelijk is voor de beveiligingsregels ter bescherming van bijzondere informatie, haar goedkeuring aan de beveiliging heeft gegeven.

Artikel 7. Buiten de Rijksdienst brengen van bijzondere informatie

  • 1 Bij het buiten de Rijksdienst brengen van bijzondere informatie, anders dan op grond van een wettelijke verplichting tot openbaarmaking, blijven de eisen aan de beveiliging in dit besluit en het toezicht daarop onverkort van kracht.

  • 2 Bijzondere informatie die krachtens een verdrag of een internationale overeenkomst is verkregen wordt uitsluitend na voorafgaande toestemming van het land of de internationale organisatie van herkomst doorgegeven aan externe partijen.

Artikel 8. Compromittering van bijzondere informatie

  • 1 Elke ambtenaar is verplicht aan de beveiligingsautoriteit van het betreffende ministerie onmiddellijk mededeling te doen van een inbreuk of mogelijke inbreuk op de beveiliging die leidt tot compromittering van bijzondere informatie.

  • 2 Indien de compromittering betrekking heeft op bijzondere informatie die is verkregen van een ander ministerie of krachtens een verdrag of internationale overeenkomst, doet de beveiligingsautoriteit bovendien mededeling aan het betreffende ministerie of de krachtens het verdrag of de internationale overeenkomst voor de beveiliging van die bijzondere informatie verantwoordelijke instantie.

Artikel 9. Commissie van onderzoek

  • 1 De secretaris-generaal stelt een commissie van onderzoek in indien sprake is van ernstige compromittering van bijzondere informatie, waarbij onafhankelijke evaluatie noodzakelijk wordt geacht om de toedracht, gevolgen en eventuele verantwoordelijkheden vast te stellen.

  • 2 Indien de secretaris-generaal een commissie van onderzoek instelt, stelt de commissie een onderzoek in naar:

    • a. de wijze waarop de compromittering heeft plaatsgevonden;

    • b. de aard en de omvang van de schade aan de belangen van het ministerie, de vitale belangen van Nederland en de Nederlandse staat, of aan zijn bondgenoten;

    • c. de te nemen maatregelen om de schade te beperken en herhaling te voorkomen.

  • 3 De commissie voert, indien de gecompromitteerde bijzondere informatie (mede) afkomstig is van een ander ministerie, haar onderzoek uit in overleg met de BVA van dat ministerie. In het geval dat de gecompromitteerde bijzondere informatie krachtens een verdrag of internationale overeenkomst is verkregen voert de commissie haar onderzoek uit in samenwerking met de instantie die krachtens het verdrag of de internationale overeenkomst verantwoordelijk is voor de beveiliging ervan.

  • 4 De secretaris-generaal treft, op basis van de bevindingen van de commissie van onderzoek, maatregelen om de schade die de compromittering heeft toegebracht aan de veiligheid of andere gewichtige belangen van het ministerie, aan de vitale belangen van Nederland en de Nederlandse staat, of aan zijn bondgenoten, te beperken en herhaling van de compromittering te voorkomen.

  • 5 Indien het de compromittering van een staatsgeheim betreft, stelt de secretaris-generaal het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst in kennis van de uitkomsten van het onderzoek. In afwijking van de eerste volzin stelt de secretaris-generaal van het Ministerie van Defensie de Militaire Inlichtingen- en Veiligheidsdienst op de hoogte van de uitkomsten van het onderzoek.

Artikel 10. Evaluatie

Dit besluit wordt drie jaar na inwerkingtreding geëvalueerd en vervolgens elke drie jaar.

Artikel 11. Overgangsrecht

Rubriceringen die zijn vastgesteld vóór inwerkingtreding van dit besluit worden uiterlijk tien jaar na vaststelling door de vaststeller onderzocht op de mogelijkheid om de rubricering te herzien of te beëindigen, en voor bestaande, reeds gerubriceerde informatie, waarbij volledig wordt voldaan aan de maatregelen, genoemd in het Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2013 (VIRBI 2013), zijn organisaties gedurende een overgangsperiode van zes maanden niet gehouden te voldoen aan de hierop aanvullende maatregelen zoals deze in de bijlage bij dit besluit zijn opgenomen.

Artikel 13. Inwerkingtreding

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin het wordt geplaatst.

Artikel 14. Citeertitel

Dit besluit wordt aangehaald als: Besluit voorschrift informatiebeveiliging rijksdienst bijzondere informatie 2025.

Origineel slotformulier en ondertekening

Dit besluit zal met de toelichting in de Staatscourant worden geplaatst.

De Minister-President, Minister van Algemene Zaken,

H.W.M. Schoof

Bijlage. Uitgangspunten en minimum niveau beveiliging

Deze bijlage beschrijft de uitgangspunten en het beveiligingsniveau voor de bescherming van de vertrouwelijkheid van bijzondere informatie en de verwerking daarvan in informatiesystemen.

De voor de bescherming van vertrouwelijkheid van bijzondere informatie te nemen maatregelen worden bepaald aan de hand van een risicoanalyse, maar beslaan ten minste de in onderstaande tabellen weergegeven te hanteren uitgangspunten en te nemen maatregelen. Indien wordt afgeweken van het onderstaande wordt dat in de risicoanalyse vastgelegd met redenen omkleed inclusief eventueel aanvullende mitigerende maatregelen. Voor Dep.V wordt dit ten minste goedgekeurd door een directeur en voor STG ten minste door een DG.

Tabel 1: Uitgangspunten en minimumniveau van beveiliging.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

De Baseline Informatiebeveiliging Overheid (BIO) vormt de basis, met normen, maatregelen en risicomanagement als uitgangspunt. Daarbovenop worden, de in dit document aangegeven aanvullende maatregelen vereist voor gerubriceerde informatie, waarbij de maatregelen toenemen in strengheid bij toenemend risiconiveau. De risicoacceptatie neemt af bij toenemende hoogte van rubricering.

V

V

V

V

B

Iedere organisatie hanteert een ‘Three Lines of Defense’-model voor doorlopend risicobeheer, naleving en controle.

V

V

V

V

C

Minimaal een keer per jaar controleert de BVA de implementatie en vastlegging daarvan.

(Maakt deel uit van de ‘Three Lines of Defense’-aanpak. Controles worden uitgevoerd om te waarborgen dat beveiligingsmaatregelen zijn geïmplementeerd en nageleefd.)

V

V

V

V

D

Openbare en private bronnen worden actief gemonitord als onderdeel van risicomanagement. Dit omvat organisaties zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), de politie, het Nationaal Cyber Security Centrum (NCSC), het Europees Agentschap voor Netwerk- en Informatiebeveiliging (ENISA), en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD).’

V

V

V

V

E

De Unit Weerbaarheid van de AIVD schrijft Verbindingsbeveiligingsvoorschriften (VBV’s) voor, waarin beveiligingsmaatregelen ten aanzien van specifieke deelaspecten worden beschreven. Waar mogelijk wordt in deze bijlage verwezen naar bestaande VBV’s. VBV’s zijn op te vragen bij de Unit Weerbaarheid van de AIVD.

V

V

V

V

F

Beveiliging in lagen: De beveiliging is opgebouwd uit meerdere lagen om te voorkomen dat de beveiliging afhankelijk is van één enkele maatregel. Deze lagen omvatten maatregelen voor zowel preventie en detectie van aanvallen als voor de voorbereiding op incident response en impactminimalisatie. Het doel is een geïntegreerde security architectuur te hanteren, oftewel een systeem van maatregelen die gezamenlijk de inventarisatie, preventie, detectie, respons en herstel omvatten inclusief besturing (governance).

V

V

V

V

G

Least privilege: Alleen de autorisaties die iemand nodig heeft om zijn of haar taak te kunnen vervullen, worden toegekend.

V

V

V

V

H

Need-to-know: Personen hebben alleen toegang tot bijzondere informatie als het noodzakelijk is dat zij deze kennen voor de uitoefening van hun functie.

V

V

V

V

I

Zero trust-systemen: Elk systeem beschouwt andere systemen als onbetrouwbaar totdat het tegendeel is bewezen en er adequate maatregelen zijn getroffen om veilig informatie uit te wisselen met vertrouwde systemen.

V

V

V

V

J

Analyse van de Te Beschermen Belangen (TBB): Identificeer deze TBB’s en prioriteer de bescherming daarvan.

V

V

V

V

K

Maandelijks controleert de lijnmanager (of laat controleren) op naleving en vastlegging van deze controle.

(Maakt deel uit van de ‘Three Lines of Defense’-aanpak. Controles worden uitgevoerd om te waarborgen dat beveiligingsmaatregelen zijn geïmplementeerd en nageleefd.)

    

V

V

Een V in de bovenstaande tabel houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

In de volgende acht hoofdstukken komen de diverse onderdelen aan de orde.

  • 1. Veilig personeel

  • 2. Beheer van bedrijfsmiddelen

  • 3. Fysieke beveiliging en beveiliging van de omgeving

  • 4. Toegangsbeveiliging

  • 5. Beveiligingseisen voor ICT-voorzieningen

  • 6. Communicatiebeveiliging

  • 7. Beheer van bijzondere informatie

  • 8. Incidenten en compromittering

1. Veilig personeel

Doelstelling

Organisaties moeten zeker stellen dat personen hun verantwoordelijkheden en verplichtingen kennen en geschikt zijn voor de rol of functie die zij vervullen. Daarnaast dienen organisaties de risico’s van menselijk handelen te beperken.

Eisen

Ieder persoon die structureel gaat werken met bijzondere informatie, dient voorafgaand aan indiensttreding een aan zijn functievervulling gerelateerd veiligheidsonderzoek te ondergaan. Voor het bepalen of een functie als vertrouwensfunctie moet worden aangewezen, dient de betreffende leidraad aanwijzen vertrouwensfuncties van de AIVD (civiele sector) en MIVD (militaire sector) te worden gevolgd.

Bij aanvang, beëindiging of wijziging van het dienstverband waarin gewerkt is met bijzondere informatie, wordt zeker gesteld dat de geheimhoudingsplicht geborgd is.

Tabel 3. Minimale maatregelen voor veilig personeel voor, tijdens en na het dienstverband.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Personen die in aanraking komen met bijzondere informatie beschikken over een Verklaring Omtrent het Gedrag (VOG).

*

      

B

Personen die structureel in aanraking komen met bijzondere informatie beschikken over een geldige Verklaring van geen bezwaar (VGB) voor de betreffende vertrouwensfunctie

  

V

V

V

C

De BVA/BA houdt toezicht op de afhandeling van beveiligingsincidenten rond bijzondere informatie.

V

V

V

V

D

In de functieomschrijvingen van personeel dat inzage heeft in bijzondere informatie is de eigen verantwoordelijkheid voor beveiliging vastgelegd.

V

V

V

V

E

Personen die in aanraking komen met bijzondere informatie, dienen aanvullend op de eed/belofte, een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.

V

V

V

V

F

Bij beëindiging van een functie waarbij iemand in aanraking komt met bijzondere informatie wordt zeker gesteld dat de betreffende persoon geen toegang meer heeft tot die informatie, noch deze in zijn/haar bezit heeft.

V

V

V

V

G

Er is een security awareness programma specifiek voor bijzondere informatie, passend bij het rubriceringsniveau.

V

V

V

V

H

Personen die in aanraking komen met bijzondere informatie zijn verplicht om het security awareness programma te volgen.

V

V

V

V

I

Er wordt voldoende informatie vastgelegd om een onderzoek van compromittering mogelijk te maken.

V

V

V

V

J

Informatie zoals bedoeld in I wordt minimaal 3 maanden bewaard om achteraf onderzoek mogelijk te maken.

V

V

V

V

K

Informatie over compromittering wordt gedurende minimaal een bepaalde termijn bewaard.

3 jaar

5 jaar

5 jaar

5 jaar

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.

2. Beheer van bedrijfsmiddelen

Doelstelling

Het handhaven van een adequaat, ordelijk en controleerbaar beheer van alle bedrijfsmiddelen waarop, waarmee of waardoor bijzondere informatie wordt verwerkt.

Eisen

Bedrijfsmiddelen waarop, waarmee of waardoor bijzondere informatie wordt verwerkt, dienen te zijn geregistreerd en aan een eigenaar te zijn toegewezen.

Tabel 4: Minimale maatregelen voor het management van bedrijfsmiddelen.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Registreer alle middelen en de personen aan wie deze zijn uitgereikt of aan wie toegang tot bedrijfsmiddelen wordt verleend.

*

V

V

V

B

Registreer de locatie/ standplaats van alle middelen en de toewijzing aan een eigenaar.

*

V

V

V

C

Er is een centraal register met een actueel overzicht van de locatie/ standplaats van alle middelen en de bijbehorende eigenaren.

*

V

V

V1

D

Minimaal eens per jaar wordt de actualiteit van het centrale register vastgesteld.

V

V

V

V

E

Stel een procedure vast voor het inleveren, opnieuw inzetten of vernietiging van geregistreerde middelen.

V

V

V

V

1 Vanwege need-to-know scheiding wordt het overzicht van Stg.ZG-middelen separaat geregistreerd.

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.

3. Fysieke beveiliging en beveiliging van de omgeving

Doelstelling

Het waarborgen van toereikende weerstand tegen (pogingen tot) ongeautoriseerde fysieke toegang van locaties, gebouwen en ruimtes (waaronder kluizen) waar zich bijzondere informatie bevindt of wordt verwerkt.

Eisen

Voor elke locatie, gebouw en ruimte waar zich bijzondere informatie bevindt of wordt verwerkt, dienen systematisch de beveiligingsmaatregelen in beeld te zijn gebracht voor fysieke toegangsbeheersing. Hierbij is ten minste voorzien in:

  • Het aanbrengen van zonering c.q. compartimentering en per zone de rubricering en/of het TBB-niveau te bepalen,

  • Het regelen van een ordelijk toegangsbeleid en sleutelbeheer,

  • Het toewijzen van ruimtes waar bijzondere informatie zich bevindt of wordt verwerkt.

Om toegang te krijgen tot ruimtes waarin bijzondere informatie wordt verwerkt, worden afhankelijk van het rubriceringsniveau, steeds zwaardere beveiligingsmaatregelen getroffen.

Tabel 5: Uitgangspunten zonering en verwerking van gerubriceerde gegevens.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

DepV-informatie wordt structureel verwerkt, behandeld en besproken1 in minimaal Zone 2 (beveiligd gebied conform het NkBR2 of een en als gelijkwaardig beschouwde ruimte) en incidenteel in Zone 1 (conform het NkBR of een en als gelijkwaardig beschouwde ruimte).

Dit betekent dat het structureel verwerken van dep. V informatie in een zone 1 een afwijking is waarvoor een exceptie nodig is.

Een organisatiegeboden aanscherping is daarbij toegestaan.

In het geval van thuiswerk bepaalt het departementaal beleid hoe om te gaan met het bespreken, verwerken en behandelen van DepV-informatie.

V

      

B

Bijzondere informatie wordt structureel verwerkt, behandeld en besproken in tenminste een extra beveiligd werkgebied (conform het NkBR of een als gelijkwaardig beschouwde ruimte).

  

V

V

V

1 Met ‘besproken’ wordt bedoeld: elk overleg waarin bijzondere informatie besproken wordt.

2 Normenkader Beveiliging Rijkskantoren (is niet voor alle gebouwen van de Rijksoverheid van toepassing)

Tabel 5.1 – Minimale eisen fysieke beveiliging locaties en gebouwen

C

De beveiliging is zodanig ingericht dat ongeautoriseerde toegang tot locaties en gebouwen en pogingen daartoe worden gedetecteerd.

*

      

D

De beveiliging is zodanig ingericht dat ongeautoriseerde toegang tot locaties en gebouwen en pogingen daartoe worden gedetecteerd en dat tijdig interventie plaatsvindt, ook na kantooruren. De vertragingstijd is dusdanig dat detectie van ongeautoriseerde toegang en pogingen daartoe plaatsvindt op een tijdstip dat interventie mogelijk maakt.

  

V

V

V

E

Bezoekers worden geregistreerd.

V

V

V

V

F

Bijzondere informatie wordt zoveel mogelijk geconcentreerd.

V

V

V

V

G

Tegengaan van afluisteren, ook van gesproken informatie, zicht op en reflectie van informatie (bijvoorbeeld via beeldschermen of spiegelende oppervlakken).

V

V

V

V

H

De medewerker verantwoordelijk voor de verwerking van bijzondere informatie, dient te voorkomen dat niet- geautoriseerde personen kennis kunnen nemen van bijzondere informatie.

V

V

V

V

I

Er zijn TEMPEST-maatregelen getroffen conform het Beleidsadvies Compromitterende straling (Verbindingsbeveiligingsvoorschrift (VBV 32000)1.

  

V

V

V

J

Voorafgaand aan de ingebruikname van een werkruimte of andere beveiligde zone dient er, volgens het Nationaal TSCM/EVO Beleidsadvies, een Technical Surveillance Counter-Measures (TSCM)/ Elektronisch Veiligheidsonderzoek en indien nodig een geluidsdempingsmeting uitgevoerd te zijn.

  

V

V

V

K

Periodiek en bij elke bouwkundige aanpassing of het toevoegen van nieuwe middelen (zoals: ICT-apparatuur, meubilair, schilderijen en relatiegeschenken) in een beveiligde zone dient er, volgens het Nationaal TSCM/EVO Beleidsadvies, een Technical Surveillance Counter- Measures (TSCM)/Elektronisch Veiligheidsonderzoek en indien nodig een geluidsdempingsmeting uitgevoerd te worden.

  

V

V

V

L

Bezoekers worden geregistreerd indien zij toegang (kunnen) hebben tot bijzondere informatie in ruimten die zij betreden.

  

V

V

V

M

Niet-geautoriseerde personen worden begeleid wanneer zij ruimtes waarin bijzondere informatie aanwezig is, betreden.

  

V

V

V

N

Er wordt voorkomen dat bezoekers kennisnemen van bijzondere informatie waar zij niet toe geautoriseerd zijn.

  

V

V

V

O

Personen die een ruimte gaan betreden waar bijzondere informatie wordt verwerkt, bewaren alle persoonlijke elektronica (computers, tablets, telefoons, bio-wearables et cetera) buiten deze ruimte.

  

V

V

V
 

Opbergen van informatie

P

Bij het verlaten van de werkplek wordt bijzondere informatie in een goedgekeurd bergmiddel opgeborgen.

V

V

V

V

Sleutelbeheer

Q

De uitgifte van sleutels wordt geregistreerd.

V

V

V

V

R

Niet in gebruik zijnde sleutels worden veilig opgeborgen.

V

V

V

V

S

Er worden gecertificeerde sleutels gebruikt.

  

V

V

V

Fysieke netwerkbescherming

T

Netwerkapparatuur en bekabeling worden fysiek beschermd conform het rubriceringsniveau van de onvercijferde informatie die er mee wordt verwerkt.

V

V

V

V

Controles op onderhoud, plaatsing en vervanging van apparatuur:

U

Externe reparatie is gebonden aan door de BVA vastgestelde procedures.

V

V

V

V

V

Reparatie vindt op locatie plaats, tenzij bijzondere informatie verwijderd is met goedgekeurde middelen.

V

V

V

V

W

Onderhoud vindt plaats door personen die in bezit zijn van een passende VGB.

  

V

V

V

X

Onderhoud door extern personeel vindt alleen plaats onder begeleiding van eigen personeel.

      

V

1 Hiervoor kan advies worden aangevraagd bij de Nationale TEMPEST Autoriteit (NTA).

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.

4. Toegangsbeveiliging

Doelstelling

Het waarborgen van een beheerste en gecontroleerde toegang tot voorzieningen waarin zich bijzondere informatie bevindt of wordt verwerkt.

Eisen

Voorzie in procedures en regels voor toegangsrechten tot, logging en monitoring van netwerkdiensten, besturingssystemen en applicaties waar zich gerubriceerde informatie bevindt.

Voorzie in een stelsel van logische toegangsbeveiligingsmaatregelen dat is gerelateerd aan de relevante dreiging en het rubriceringsniveau.

Tabel 6. Minimale maatregelen voor toegangsbeveiliging.
 

Dep.V

Stg.C

Stg.G

Stg.ZG
 

Identificatie en authenticatie:

A

Het moet de gebruiker duidelijk zijn wat de maximale rubricering is van de informatie die verwerkt mag worden op een systeem.

V

V

V

V

B

Gebruikersnamen garanderen dat activiteiten worden herleid naar individuen.

V

V

V

V

C

Gebruikers worden vooraf geïdentificeerd en geautoriseerd.

V

V

V

V

D

Pas multifactor authenticatie toe.

*

V

V

V

E

Toegang tot bijzondere informatie wordt op individueel niveau bepaald.

V

V

V

V

F

Toegang tot systemen kan op groepsniveau worden bepaald mits het lidmaatschap van de groep herleidbaar is op het individu.

V

V

Niet toegestaan.

Niet toegestaan.

G

Wachtwoorden worden vercijferd opgeslagen.

V

V

V

V

H

Stel minimum eisen aan wachtwoordlengte, -complexiteit en -versleuteling en wijzigingsfrequentie.

V

V

V

V

I

Wachtwoorden worden zodanig behandeld dat ze beschermd zijn tegen ongeautoriseerde kennisname.

V

V

V

V

J

Toegang tot een account wordt na een aantal direct achtereenvolgende foutieve inlogpogingen geblokkeerd.

*

5

4

3
 

Logische toegangscontrole:

K

Toegang tot ICT-voorzieningen wordt enkel verschaft op basis van need-to-know.

V

V

V

V

L

Er worden procedures vastgesteld voor het verkrijgen van toegang tot bijzondere informatie.

V

V

V

V
 

De toegang tot het werkstation wordt beveiligd:

M

De toegangsbeveiliging wordt automatisch geactiveerd.

10m

10m

5m

5m

N

Informatie wordt vercijferd opgeslagen en het vercijfermechanisme en het sleutelbeheer is goedgekeurd door de Minister van Binnenlandse Zaken en Koninkrijksrelaties voor inzet binnen de Rijksdienst of de BA Defensie voor gebruik binnen Defensie voor de betreffende rubricering.

V

V

V

V

O

Toegang tot beheerfuncties is voorbehouden aan die personen die van deze functies gebruik moeten maken.

V

V

V

V

P

De toegangsrechten van de gebruikers worden periodiek geëvalueerd.

*

V

V

V
 

Netwerk toegangscontroles:

Q

De autorisaties van alle gebruikers zijn vastgelegd.

V

V

V

V

R

Het is toegestaan om beheer op afstand uit te laten voeren.

V

Niet toegestaan

Niet toegestaan

Niet toegestaan
 

De aansluiting met netwerken beveiligen:

S

Koppeling met externe netwerken is alleen toegestaan middels goedgekeurde koppelvlakken.

V

V

V

V

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.

5. Beveiligingseisen voor ICT-voorzieningen

Doelstelling

Het waarborgen van een passend niveau van beveiliging gedurende de gehele levenscyclus van ICT- voorzieningen waarin bijzondere informatie wordt verwerkt.

Eisen

Voorafgaand aan verwerving, ontwikkeling, onderhoud en afstoot van informatiesystemen waarin bijzondere informatie wordt verwerkt, dienen de dreigingen en risico’s in beeld te zijn gebracht. Voor het gebruik en beheer van informatiesystemen is het beveiligingsniveau in overeenstemming met de dreigingen en risico’s.

Tabel 7: Minimale maatregelen voor de levenscyclus van ICT-voorzieningen.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

De configuratie van de hard- en software moet zijn vastgelegd.

*

V

V

V

B

Alle wijzigingen in apparatuur, software of procedures moeten controleerbaar zijn.

*

V

V

V

C

Er moet een autorisatiematrix zijn voor wijzigingen en de procedure voor wijzigingen moet zijn vastgelegd.

*

V

V

V

D

Gedurende de gehele levenscyclus van een systeem worden minimaal jaarlijks audits, inspecties, reviews en tests uitgevoerd om te controleren of de beveiligingsmaatregelen effectief zijn.

Deze controles worden uitgevoerd door deskundige specialisten die beschikken over de juiste onderzoeksmiddelen en beproefde onderzoeksmethoden.

Self assessment

Onafhankelijk deskundige

Onafhankelijk deskundige

Onafhankelijk deskundige

E

De verantwoordelijkheden en procedures voor het adequaat beheer en juist gebruik van de ICT-voorzieningen waarin bijzondere informatie wordt verwerkt, zijn vastgesteld.

*

V

V

V

F

Bij uitbesteding van (delen van) de dienstverlening dient een zelfde beveiligingsniveau te worden gerealiseerd als geldt bij de interne dienstverlening. De uitbestedende partij/eigenaar blijft verantwoordelijk voor de beveiliging.

*

V

V

V

G

Bij informatieverwerking in ketens blijft de eigenaar van de bijzondere informatie verantwoordelijk voor het hanteren van het juiste beveiligingsniveau in de gehele keten.

V

V

V

V

H

Voorafgaand aan de inkoop van ICT-middelen en fysieke voorzieningen, extern personeel evenals voorafgaand en tijdens een opdrachttoets omtrent het verwerken van bijzondere informatie, dient contact te worden opgenomen met de BVA om de juiste normen, kaders, wet- en regelgeving te kunnen hanteren en het accreditatieproces te starten.

*

Zie ook tabel 1, maatregel A

V

V

V

I

Accreditatie van ICT-voorzieningen worden periodiek of na een concrete aanleiding uitgevoerd,

*

Zie ook tabel 1, maatregel A

V

V

V

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

Een * in de tabel verwijst op een aantal plekken voor DepV naar de BIO.

6. Communicatiebeveiliging

Doelstelling

Het waarborgen van een wederzijds vergelijkbaar beveiligingsniveau voor de vertrouwelijkheid bij communicatie van bijzondere informatie.

Eisen

De vertrouwelijkheid van informatie moet gehandhaafd blijven tijdens (elektronisch) transport buiten gecontroleerd gebied. Voorzie in een passende set van maatregelen indien bijzondere informatie de organisatie of beveiligde omgeving verlaat.

Tabel 8: Minimale maatregelen voor verzending van gerubriceerde informatie.
 

Dep.V

Stg.C

Stg.G

Stg.ZG
 

Controles op documenten en gegevensdragers:

A

Af te stoten gegevensdragers worden eerst gewist met een door de BVA voor de desbetreffende rubricering goedgekeurde methode.

V

V

V

  

B

Af te stoten gegevensdragers worden fysiek vernietigd.

      

V

C

De hoogste rubricering van informatie wordt op gegevensdragers aangegeven.

V

V

V

V

D

Elk document is tenminste voorzien van:

• Rubriceringsniveau;

• Rubriceringsduur;

• Vaststeller (functie) van de rubricering;

• Datum vaststelling;

• Bladzijdenummering en totaal aantal bladzijden waaruit het document bestaat.

V

V

V

V

E

Een gegevensverzameling (ongeacht welke vorm) is tenminste voorzien van (meta) gegevens van:

• Rubriceringsniveau;

• Rubriceringsduur;

• Vaststeller (functie) van de rubricering;

• Datum vaststelling;

• Omvang.

V

V

V

V

F

Gegevensdragers die onversleutelde bijzondere informatie bevatten en afgedrukte informatie in documentvorm worden beveiligd bewaard.

V

V

V

V

G

Er worden niet meer kopieën van bijzondere informatie gemaakt dan strikt noodzakelijk.

V

V

V

V

H

Informatie wordt alleen gedeeld op basis van de verspreidingscriteria van de opsteller.

V

V

V

V

I

Bij het overnemen van tekstpassages, blijft het rubriceringsniveau van het origineel onverkort van kracht.

V

V

V

V

J

Informatie (inclusief gegevensdragers) wordt vernietigd door middel van een door de BVA voor de desbetreffende rubricering goedgekeurde wijze waarvan vooraf, door onafhankelijke deskundigen, is aangetoond dat reconstructie van de informatie wordt voorkomen.

V

V

V

V

K

Van alle exemplaren van documenten met bijzondere informatie worden de volgende gegevens vastgelegd:

• Uniek exemplaarnummer;

• Opsteller;

• Ontvanger;

• De in het oorspronkelijke document gebruikte merkingen (zoals ‘Vrij te geven aan’, ‘Releaseable to’ of ‘REL’).

  

V

V

V

L

Het bijmaken van kopieën en/ of reproducties (zowel fysiek als digitaal) van bijzondere informatie wordt geregistreerd.

    

V

V

M

Het kopiëren en/of reproduceren van bijzondere informatie is voorbehouden aan daartoe aangewezen personen.

    

V

V

N

Van vernietiging van bijzondere informatie wordt een proces-verbaal opgemaakt.

    

V

V
 

Registratie – de verblijfplaats van de informatie is traceerbaar:

O

Geregistreerd wordt welke persoon de informatie onder zijn berusting heeft.

    

V

V

P

Geregistreerd wordt welke persoon de informatie heeft ingezien.

    

V

V
 

Fysiek transport:

De beveiliging van informatie moet tijdens fysiek transport buiten gecontroleerd gebied gehandhaafd blijven:

Q

Fysieke verzending van bijzondere informatie dient te geschieden met ministerieel goedgekeurde middelen zoals sealbags of andere verzegelingen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.

V

V

V

V

R

Verzending wordt gereed gemaakt door daartoe aangewezen personen c.q. afdeling.

V

V

V

V

S

Verzending vindt nationaal plaats per aangetekende en traceerbare verzending of door een BVA goedgekeurde commerciële koerier.

  

V

    

T

Verzending vindt internationaal plaats per aangetekende en traceerbare verzending of als onbegeleide diplomatieke zending.

  

V

    

U

Verzending vindt zowel binnen als buiten Nederland plaats per door het ministerie aangewezen koerier.

    

V

  

V

De ontvanger verstuurt een ontvangstbevestiging naar de verzender.

    

V

V

W

Transport vindt binnen Nederland plaats per door het ministerie aangewezen koerier.

      

V

X

Transport vindt buiten Nederland plaats per koerier1 als diplomatieke zending.

      

V
 

Materiaal dat niet met de voorafgaande methoden kan worden verzonden:

Y

Wordt verzonden per door de BVA goedgekeurde koerier.

V

V

    

Z

Wordt verzonden per Nederlands of bondgenootschappelijk militair transport of per door de SG goedgekeurde koerier.

    

V

V
 

Meenemen van bijzondere informatie buiten gecontroleerd gebied (plaats van tewerkstelling):

A1

Bijzondere informatie wordt uitsluitend meegenomen buiten de daarvoor aangewezen zones indien dit voor de voortgang van de werkzaamheden noodzakelijk is en hiervoor door de lijnmanager toestemming is verleend.

  

V

V

  

B1

Token voor de toegang tot de informatie wordt gescheiden van de informatie meegenomen.

    

V

V

C1

De BVA stelt voorschriften op voor het registreren van het meenemen.

    

V

V

D1

Bijzondere informatie wordt niet buiten de daarvoor aangewezen zones of locaties meegenomen. Transport vindt plaats op de hiervoor beschreven wijze.

      

V
 

Elektronisch transport:

De beveiliging van informatie moet tijdens elektronisch transport buiten gecontroleerd gebied gehandhaafd blijven:

E1

De rubricering wordt samen met de informatie verzonden.

V

V

V

V

F1

Het versturen van berichten wordt geregistreerd.

  

V

V

V

G1

De ontvangst van het bericht wordt geregistreerd.

  

V

V

V

H1

De ontvangst van het bericht wordt bevestigd.

    

V

V
 

Vertrouwelijkheid van informatie over netwerken:

I1

Bijzondere informatie die wordt verspreid via netwerken wordt vercijferd2.

V

V

V

V

J1

Het vercijfermiddel is door de Minister van Binnenlandse Zaken en Koninkrijksrelaties goedgekeurd voor de betreffende rubricering. Voor Defensie geldt goedkeuring door de eigen BA.

V

V

V

  

K1

De goedkeuring van een (cryptografisch) beveiligingsmiddel gebeurt door het hoofd van de AIVD namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, op basis van advies van de Werkgroep Bijzondere Informatiebeveiliging (WBI) of diens rechtsopvolger, na evaluatie door de Unit Weerbaarheid van de AIVD3. Voor Defensie gebeurt de goedkeuring door de BA Defensie.

V

V

V

V

L1

De bescherming van cryptografische middelen geschiedt conform VBV 41000.

V

V

V

V

M1

Digitale verwerking van informatie die krachtens een verdrag of een internationale overeenkomst is verkregen, dient met door de verstrekkende instantie goedgekeurde cryptografische middelen te geschieden.

V4

V4

V

V

N1

Digitale verwerking van bijzondere informatie dient met goedgekeurde (cryptografische) beveiligingsmiddelen te geschieden, in overeenstemming met de bijbehorende inzetadviezen en verbindingsbeveiligingsvoorschriften. De Secretaris-generaal van het ministerie verleent toestemming voor de inzet van (cryptografische) beveiligingsmiddelen voor digitale verwerking van bijzondere informatie, met inachtneming van maatregelen K1 en O1.

V5

V

V

V

O1

Voor het gebruik en de inzet van (cryptografische) beveiligingsmiddelen voor ICT-voorzieningen wordt advies ingewonnen van de Unit Weerbaarheid van de AIVD.

  

V

V

V

1 Het verzenden per koerier als diplomatieke zending vindt plaats door tussenkomst van het Ministerie van Buitenlandse Zaken, een diplomatieke of beroeps consulaire vertegenwoordiger van Nederland, de Gouverneur van Aruba, Gouverneur van Bonaire of de Gouverneur van Curaçao.

2 Dep. VERTROUWELIJK gerubriceerde informatie hoeft niet vercijferd te worden indien verzending plaatsvindt via een intern netwerk dat zich binnen één locatie bevindt.

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

3 Zie ook Instellingsregeling WBI, Staatscourant 2005, 139 pagina 8.

4 Voor equivalenten van Dep. VERTROUWELIJK en Stg. CONFIDENTIEEL geldt dat binnen Nederland ook nationaal goedgekeurde (cryptografische) beveiligingsmiddelen mogen worden ingezet.

5 Voor DepV kan de toestemmingsverlening gedelegeerd worden aan de BVA.

7. Beheer van bijzondere informatie

Doelstelling

Risico's voor bijzondere informatie worden procesmatig beheerst.

Eisen

Voorzie in maatregelen die duidelijke en veilige beheersing van, omgang met, kopiëring en vernietiging van bijzondere informatie mogelijk maken.

Tabel 9: Minimale maatregelen voor beheer van bijzondere informatie.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Er is een register van bijzondere informatie, inclusief datum van afgifte, persoon van afname, datum van teruggave en status van vernietiging.

  

V

V

V

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.

8. Incidenten en compromittering

Doelstelling

Het waarborgen van een gedegen detectie, afhandeling, melding, en opvolging van incidenten en compromitteringen met betrekking tot bijzondere informatie.

Eisen

Voorzie in maatregelen die in het geval van incidenten en compromittering voorzien in detectie en de impact minimaliseren en isoleren.

Voorzie in maatregelen die in het geval van incidenten en compromittering degelijk forensisch onderzoek hiernaar mogelijk maken.

Tabel 10: Minimale maatregelen voor beheersing van incidenten en compromittering.
 

Dep.V

Stg.C

Stg.G

Stg.ZG

A

Incidenten en compromittering van bijzondere informatie worden direct gemeld aan de BVA, die dit meldt bij de aangewezen toezichthouders. Zie Artikel 8, lid 2.

V

V

V

V

B

Incidenten en compromittering van bijzondere informatie worden tijdig door de BVA/BA gemeld aan de eigenaar van de bijzondere informatie.

V

V

V

V

C

Incidenten en compromittering van bijzondere informatie die verkregen is krachtens een verdrag worden direct gemeld bij de NSA. Voor Defensie betreft dat de NSA Militair.

V

V

V

V

D

Specifieke normen en maatregelen die genomen dienen te worden ter voorbereiding op en mitigatie van incidenten en compromittering van bijzondere informatie, worden beschreven in een Verbindings Beveiligings Voorschrift (VBV). Dit voorschrift wordt nog vastgesteld door de Unit Weerbaarheid (UWB) van de AIVD.

V

V

V

V

E

Er is een register bij de BVA/BA van alle meldingen en signalen van (mogelijke) incidenten of compromittering verband houdend met bijzondere informatie.

  

V

V

V

Een V houdt in: bij dit niveau van rubricering maatregel verplicht toepassen.