Ontdek het risicomanagementraamwerk dat bij jou past
Doelgroep:
Dit artikel is voor security managers die verantwoordelijk zijn voor de digitale weerbaarheid van hun organisatie, die zich met risicomanagement bezighouden maar dit nog niet structureel ingericht hebben. We helpen je om vervolgstappen te zetten en in volwassenheid te groeien. Hierna ben je beter in staat om te bepalen hoe je de beste passende keuzes kun maken voor jouw organisatie.
Definitie:
Risicomanagement is het fundament voor een passend niveau van digitale weerbaarheid: een continu proces waarbij digitale risico’s voortdurend worden beheerst en beheerd. Om ondersteuning te bieden voor het goed toepassen van risicomanagement zijn er talloze risicomanagementraamwerken.
Een risicomanagementraamwerk bestaat uit principes, uitgangspunten, denkwijzen, processen en afspraken die een organisatie gebruikt voor het omgaan met veiligheidsrisico's.
Achtergrond
Raamwerken en digitale weerbaarheid
Om als organisatie grip te krijgen op digitale risico’s, helpt een risicomanagementraamwerk om op de juiste onderdelen te focussen. In plaats van zelf het wiel uit te vinden kun je gebruik maken van de kennis en ervaring die al is vastgelegd in een bestaand risicomanagementraamwerk. Dat bespaart kosten, middelen en tijd.
Vanwege het grote aantal beschikbare risicomanagementraamwerken kan het een uitdaging zijn om de juiste keuzes te maken. Welk raamwerk geschikt is binnen de specifieke context van de organisatie, de wijze waarop raamwerken geoperationaliseerd kunnen worden en hoe deze keuze het beste gemaakt kan worden is complex en vereist specialistische kennis. Dat zorgt ervoor dat er een hoge drempel is om de juiste raamwerken te adopteren en ermee aan de slag te gaan.
Belangrijk is te letten op doel en middel. Het doel zou moeten zijn om inzicht te krijgen in risico’s en deze effectief kunnen beheersen. Het gaat dus niet om een afvinklijst waarmee je alleen op papier aantoont dat deze stappen zijn gezet. Het inzetten van een raamwerk moet leiden tot het aantoonbaar kunnen beheersen van de risico's die je als organisatie loopt.
Risicomanagement heeft als doel inzicht te krijgen welke risico's relevant zijn voor jouw organisatie en/of keten, deze vervolgens tot acceptabele restrisico's terug te brengen, te blijven monitoren en waar nodig weer bij te stellen. We hebben de routekaart risicomanagement ontwikkeld om inzicht en overzicht te bieden in de verschillende onderdelen van risicomanagement.
De vier verschillende kwadranten van de routekaart in het kort:
- Governance en randvoorwaarden
Het doel van de governance en randvoorwaarden fase is tweeledig; het scheppen van de juiste randvoorwaarden om risicomanagement een structurele plek te geven binnen de organisatie en het vaststellen van de manier waarop de organisatie besluitvorming en besturing rondom risicomanagement inricht. - Risicobeoordeling
De risicobeoordelingsfase creëert zicht op de belangrijkste risico’s voor een organisatie. Risico’s zijn de kans op schade of verlies in een informatiesysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Inzicht in de belangrijkste risico’s biedt de basis voor de volgende fase in de risicomanagementcyclus: risicobehandeling. - Risicobehandeling
Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau. In de fase van risicobehandeling maak je keuzes op basis van de gevonden risico’s. Dat betekent dat je afweegt of er aanvullende maatregelen nodig zijn. - Doorlopende monitoring
Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de gekozen risicobehandeling. In de doorlopende monitoringfase wordt er continu bijgehouden of de gekozen beheersmaatregelen daadwerkelijk het beoogde resultaat behalen. Tevens houd je interne en externe veranderingen van de organisatie bij en evalueer je om te zien of dit effect heeft op de beoordeling van risico’s en of je de gekozen maatregelen moet heroverwegen.
Het is van belang te begrijpen dat de verschillende onderdelen van de routekaart risicomanagement maatwerk vragen als deze in een organisatie toegepast gaan worden. Immers, de bakker op de hoek heeft een heel ander risicoprofiel dan een multinational die veel met intellectueel eigendom en een diverse verzameling aan toeleveranciers en afnemers werkt. De routekaart risicomanagement is opgesteld om inzicht en overzicht te geven op het gebied van risicomanagement in het digitale domein. Het dient in dit artikel als referentiekader.
Raamwerken voor risicomanagement
In dit hoofdstuk geven we categorieën van instrumenten voor risicomanagement. Zo bieden we je inzicht in welke verschillende instrumentcategorieën er zijn, inclusief voorbeelden van raamwerken. Belangrijk is dat elk raamwerk maatwerk vraagt. Ook omdat niet elk onderdeel van een raamwerk is even urgent of relevant voor jouw organisatie. We identificeren daarom vier soorten van risicomanagementraamwerken. Hieronder behandelen we specifieke voorbeelden inclusief toelichting.
Het vergelijken van specifieke maatregelen
Het is cruciaal om te benoemen dat veel raamwerken overlap hebben met elkaar. Ons doel is niet om elke specifieke maatregel van elk mogelijk raamwerk met elkaar te vergelijken. Dat doen andere, gerenommeerde organisaties al. Daarom hebben we een uitgebreide bronvermelding toegevoegd onderaan dit artikel, die je kunt raadplegen als je op zoekt bent naar deze kennis. Zoek je een specifieke vergelijking van maatregelen? De zoektermen “mapping” en “crosswalks” in combinatie met de betrokken raamwerken helpen je als je jouw favoriete zoekmachine gebruikt.
De vier categorieën van risicomanagementraamwerken
- Holistische raamwerken: Deze raamwerken geven op hoog niveau invulling aan risicomanagement en bieden de gewenste eindresultaten.
- Kwadrantspecifieke raamwerken: Deze raamwerken richten zich op een specifiek onderdeel van risicomanagement, bijvoorbeeld risicobeheersing, en geven concrete instructies om hier invulling aan te geven.
- Specialistische raamwerken: Deze raamwerken zorgen voor grip op de sector of op technologiespecifieke risicomanagementuitdagingen, bijvoorbeeld in de zorgsector, de Rijksoverheid of Operationele Technologie (OT/IACS).
- Groeigerichte raamwerken: Deze raamwerken zijn geschikt om als organisatie gefaseerd te groeien op het gebied van risicomanagement. Het einddoel van groeigerichte raamwerken is een organisatie in staat stellen om een holistisch raamwerk te adopteren.
Belangrijk: de voorbeelden die we hieronder geven, geven geen voorkeur weer vanuit het NCSC voor een specifieke methode. De voorbeelden zijn gekozen op basis van het referentiekader van de auteurs en daarmee subjectief van aard.
1. Holistische risicomanagementraamwerken
Holistische modellen bieden eindresultaten van het risicomanagementproces en eisen om dit eindresultaat te bereiken. Ze bieden daarmee geen specifieke handvatten of instructies hoe deze eindresultaten bereikt kunnen worden. De raamwerken in deze categorie zijn holistisch van aard omdat ze alle facetten van digitaal risicomanagement omvatten.
De invulling van de vraag hoe de eindresultaten behaald kunnen worden, daar heeft de organisatie vrije keuze in. We verwijzen daarvoor naar de kwadrantspecifieke raamwerken in deze publicatie.
Kenmerken van holistische risicomanagementraamwerken:
- Generiek van aard en omvatten het gehele speelveld van digitaal risicomanagement
- Bieden eindresultaten van volwassen digitaal risicomanagement
- Bieden geen specifieke beheersmaatregelen of instructies
- Optionele kenmerken:
- de mogelijkheid tot certificering
- onderdeel van wettelijke en/of contractuele eisen
- Relatief hoge instapdrempel qua benodigde middelen, capaciteit en kosten wegens het alomvattende aspect
- Deze drempel kan worden verlaagd door onderdelen van holistische raamwerken te adopteren
Voorbeelden hiervan zijn:
ISO 27001 is de internationale standaard voor informatiebeveiliging en stelt vereisten aan risicomanagement. Door certificering op deze norm toont een organisatie aan dat het de informatiebeveiliging op orde heeft. De norm helpt bij het opzetten van een managementsysteem voor informatiebeveiliging (ISMS) waarmee risico’s kunnen worden geïdentificeerd, beheerst en verminderd.
COBIT 5 is een raamwerk voor managers voor het beheer van informatietechnologie. COBIT staat voor Control Objectives for Information and Related Technology. Het is ontworpen als een hulpmiddel om de kloof te overbruggen tussen technische problemen, risico’s en controlevereisten.
COBIT 5 is een erkende richtlijn en kan toegepast worden op vrijwel elke organisatie in elke branche. Certificering voor COBIT is niet mogelijk.
NIST CSF omschrijft de uitkomsten waar risicomanagement aan moet voldoen: ten eerste de “CSF Core”, die een taxonomie is van de resultaten van risicomanagement. Ten tweede bevat NIST CSF organisatieprofielen om de huidige en/of beoogde beveiligingsstatus van een organisatie te beschrijven. Ten derde omvat NIST CSF niveaus van organisatieprofielen waarmee de nauwkeurigheid van het beveiligingsbeheer en de beveiligingspraktijken van een organisatie is te karakteriseren. Certificering voor NIST CSF is niet mogelijk.
SOC 2 is een standaard ontwikkeld om IT-serviceorganisaties te toetsen op de effectiviteit van hun controlemaatregelen en processen rondom informatiebeveiliging. Het doel van SOC 2 is om transparantie te bieden aan (potentiële) klanten over hoe de IT-dienstverlening beveiligd is en hoe deze voldoet aan de belangrijkste veiligheidsnormen. Het resultaat van een SOC 2-traject is een uitgebreide rapportage, waarin een IT-auditor verklaart of de dienst aan de eisen voldoet en een organisatie daarmee kan certificeren.
2. Kwadrantspecifieke risicomanagementraamwerken
De routekaart risicomanagement omvat vier specifieke kwadranten:
- Governance en randvoorwaarden
- Risicobeoordeling
- Risicobehandeling
- Doorlopende monitoring
Een groot aantal raamwerken biedt zeer specifieke methoden aan om één (of meerdere) van de kwadranten in te vullen. Daarmee beantwoorden deze raamwerken de vraag hoe specifieke risicomanagementhandelingen ingevuld kunnen worden. Dus zijn deze raamwerken inherent complementair aan de holistische raamwerken van het hoofdstuk hiervoor.
Kenmerken van kwadrantspecifieke risicomanagementraamwerken:
- Gedetailleerd van aard en richten zich op specifieke onderdelen van digitaal risicomanagement
- Bieden specifieke maatregelen en instructies: gedetailleerde opties om de juiste componenten te identificeren en toe te passen
- Zijn complementair en ondersteunend aan holistische raamwerken.
- Niet al deze specifieke beheersmaatregelen moeten geïmplementeerd worden kwadrantspecifieke raamwerken bieden referentiekaders waaruit de passende maatregelen geïdentificeerd kunnen worden om daarna geïmplementeerd te worden
Voorbeelden hiervan zijn:
Governanceraamwerken:
ISO 27014 geeft organisaties richtlijnen om het beheer en governance van hun informatiebeveiliging gedegen in te richten. ISO 27014 is sterk gerelateerd aan ISO 27001, aangezien de 27002 specifieke instructies geeft hoe (met welke maatregelen) voldaan kan worden aan 27001. Denk aan het opzetten van trainingsprogramma’s en het bepalen van rollen en verantwoordelijkheden op alle niveaus. Het doel van dit raamwerk: het beheersysteem voor informatiebeveiliging in lijn brengen met businessdoelen en strategie, meerwaarde creëren voor het management en andere stakeholders en alle informatierisico’s op de radar krijgen.
Risicobeoordelingsraamwerken:
IRAM2 is een methode om risicobeoordeling gestructureerd uit te voeren. Het beoordeelt risico’s op kwalitatieve wijze. IRAM2 bestaat uit zes stappen, startende met het scopen van de risicobeoordeling tot het rapporteren op de resultaten en het evalueren van het proces.
FAIR is een risicomanagementbeoordelingsraamwerk dat geijkt is op het identificeren en kwantificeren van risico’s. Risico’s worden gekwantificeerd in financiële kosten voor de organisatie.
Risicobehandelingsraamwerken:
ISO 27002 geeft een referentieverzameling van generieke beheersmaatregelen voor informatiebeveiliging met inbegrip van implementatierichtlijnen. ISO 27002 is sterk gerelateerd aan ISO 27001, aangezien de 27002 specifieke instructies geeft hoe (met welke maatregelen) voldaan kan worden aan 27001. Deze norm bestaat uit vier categorieën van beheersmaatregelen:
- organisatorisch
- mensgericht
- fysiek
- technologisch
Monitoringsraamwerken:
ISO 27004 biedt richtlijnen die bedoeld zijn om organisaties te helpen bij het evalueren van de informatiebeveiligingsprestaties en de effectiviteit van een informatiebeveiligingsmanagementsysteem. ISO 27004 is sterk gerelateerd aan ISO 27001, aangezien de 27002 specifieke instructies geeft hoe (met welke maatregelen) voldaan kan worden aan 27001. Het stelt vast:
- de monitoring en meting van informatiebeveiligingsprestaties
- de monitoring en meting van de effectiviteit van een informatiebeveiligingsmanagementsysteem (ISMS), inclusief de processen en controles daarvan
- de analyse en evaluatie van de resultaten van monitoring en meting.
3. Specialistische risicomanagementraamwerken
Specialistische raamwerken zijn raamwerken die organisaties in staat stellen om de omgang met unieke uitdagingen van digitaal risicomanagement mogelijk te maken. Zo hebben sectoren vaak eigen normen die al dan niet een wettelijke basis hebben. De risicomanagementraamwerken die voor zo’n sector opgesteld zijn, bieden daarmee concrete(re) handvatten om goed om te gaan met de unieke uitdagingen binnen de sector. Datzelfde geldt voor de omgang met een specifieke technologische ontwikkeling zoals cloud.
Daarmee beantwoorden deze raamwerken de vraag hoe specifieke risicomanagementhandelingen binnen een expertiseveld toegepast kunnen worden. Ook deze raamwerken zijn daarom complementair aan de holistische raamwerken.
Kenmerken van specialistische raamwerken:
- Gericht op risicomanagementuitdagingen voor specifieke sectoren of de omgang met specifieke technologie
- Bieden specifieke maatregelen en instructies, geijkt op de specifieke context van de sector of de technologie
- Zijn complementair aan holistische raamwerken
- Kunnen onderdeel zijn van wettelijke en/of contractuele eisen
Voorbeelden hiervan zijn:
Sectorspecifieke raamwerken:
NEN 7510 bevat eisen voor instellingen die audits voor certificatie van een managementsysteem voor informatiebeveiliging (ISMS) in de zorg uitvoeren. NEN 7510-1 en NEN 7510-2 geven richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. Zoals veel sectorspecifieke raamwerken, is deze norm gebaseerd op de ISO-27001 norm.
De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). De BIO beschrijft de invulling van de ISO 27001:2017 en de ISO 27002:2017 voor de overheid. In de BIO zijn op basis van de generieke schades en dreigingen voor de overheid standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen. In de BIO staat per BBN beschreven aan welke beheersmaatregelen uit de ISO 27002 moet worden voldaan. In 2025 wordt de opvolger de BIO 2.0 bekrachtigd.
Technologiespecifieke raamwerken:
Deze norm biedt een solide basis voor het managen van digitale risico’s binnen het IACS-domein. IEC 62443 kent verschillende normdelen die elk een apart gebied afdekken: zo zijn er delen voor eindgebruikers en delen die juist relevant zijn voor systeemintegratoren en leveranciers. Door het toepassen van de norm kunnen zij alle binnen hun eigen discipline bijdragen aan het verhogen van de securityniveaus, waarbij de norm een uniforme communicatie tussen de verschillende partijen faciliteert.
Het doel van NIST AI 100-1 is om een hulpmiddel te bieden aan organisaties die AI-systemen ontwerpen, ontwikkelen, inzetten of gebruiken. Het helpt om de risico's van AI te beheersen en een betrouwbare en verantwoordelijke ontwikkeling en gebruik van AI-systemen te bevorderen.
4. Raamwerken gericht op groei (groeimodellen)
Groeimodellen richten zich op het haalbaar maken van digitaal risicomanagement. Daarmee ondersteunen ze organisaties die hun digitale weerbaarheid willen verhogen. Het einddoel van deze groeimodellen is dat de afstand tussen de huidige stand van digitaal risicomanagement in een organisatie en de holistische raamwerken zoals ISO27001 verkleind wordt. Idealiter leidt het volgen van een groeimodel tot uiteindelijke adoptie van een holistisch raamwerk. De modellen kenmerken zich door het bieden van verschillende (instap)niveaus. Hierdoor bieden deze raamwerken voor veel organisaties de mogelijkheid om vanuit de huidige situatie te beginnen om vervolgens via de niveaus in het model verder te groeien.
Kenmerken van groeimodellen:
- Relatief lage instapkosten
- Bieden specifieke maatregelen en instructies
- Bieden een groeipad naar de complexere raamwerken toe
- Kunnen onderdeel zijn van wettelijke en/of contractuele eisen
Voorbeelden hiervan zijn:
CyFun is ontwikkeld door het Centrum voor Cybersecurity België (CCB). Het kent vier niveaus: small, basic, important en essential. Vanwege de niveaus is dit raamwerk ook geschikt om stap voor stap mee aan de slag te gaan om de digitale weerbaarheid te vergroten. Het is van belang te bepalen welke risico’s je als organisatie al dan niet loopt zodat je weet welke onderwerpen je wel of niet moet meenemen. Het groeipad van CyFun verkleint daarmee het gat om ISO 27001:2022 te adopteren.
CYRA is een (groei)model dat organisaties in staat stelt om stap voor stap hun digitale weerbaarheid te verhogen tot bijna ISO 27001 niveau. CYRA kent vier stappen: entry, basic, intermediate en advanced met daarbinnen telkens drie volwassenheidsniveaus. Door deze drie volwassenheidsniveaus is deze norm ook geschikt als vertrekpunt om je digitale weerbaarheid stap voor stap te verhogen. Wel is van belang te bepalen welke risico's een organisatie al dan niet loopt zodat je weet welke onderwerpen je wel of niet moet meenemen.
Kies een raamwerk
Uiteindelijk is het doel als organisatie te komen tot een effectieve aanpak van risicomanagement aan de hand van een passend raamwerk. Afhankelijk van waar je nu staat en waar je verwacht naartoe te bewegen, werk je het keuzeproces voor een raamwerk uit. Er is hierbij geen one-size-fits-all benadering mogelijk om het perfecte risicomanagementraamwerk te identificeren en toe te passen. Het toepassen van een raamwerk biedt houvast voor de mate van bescherming van jouw organisatie.
Daarom richt je voor je organisatie een keuzeproces in waarmee je vervolgens aan de slag kunt. Door dit proces expliciet in te richten ontstaat ook inzicht in de criteria waarvan de keuze afhangt.
In het kort moet in dit keuzeproces het volgende aan bod komen
Het is van belang zowel te kijken naar waar je organisatie nu als in de toekomst staat. Zodoende kies je een raamwerk dat past bij je eventuele ambities en verwachtingen. Dan kun je langer gebruik blijven maken van het raamwerk. Als jouw organisatie de ambitie heeft om internationaal te gaan opereren, dan heeft dat bijvoorbeeld potentieel ook impact op de verwachtingen die er zijn aan de digitale weerbaarheid.
Afhankelijk van jouw type organisatie, de markt en de sector waarin je opereert moet je bepaalde raamwerken toepassen omdat het wettelijk is voorgeschreven of omdat jouw klanten dit van jou eisen.
We benoemen daarom een aantal overwegingen waarop beoordeeld kan worden (1) wat de huidige stand van het digitale risicomanagement binnen de organisatie is en (2) op welke wijze aanvullende acties geïdentificeerd kunnen worden om de weerbaarheid te verhogen.
- Wettelijke vereisten
Het is belangrijk om in beeld te hebben aan welke wettelijke eisen een organisatie moet voldoen. Het adopteren en op juiste wijze operationaliseren van een risicomanagementraamwerk kan hier onderdeel van zijn. - Contractuele eisen
Hier geldt hetzelfde voor ten opzichte van de wettelijke eisen. - Kosten
Elk raamwerk heeft bepaalde kosten. Denk aan: training van personeel, total cost of ownership en de kosten voor het gebruik van het raamwerk zelf. - Capaciteit en kennis
Gebruik van raamwerk(en) kost capaciteit en kennis is ervoor vereist. Overweeg welke kennis en capaciteit de organisatie al heeft aangezien op die manier de effectiviteit van toepassing van het raamwerk verhoogd wordt. - Volwassenheid
Bovenstaande elementen bepalen de volwassenheid van de organisatie. Aan de hand van deze volwassenheid qua informatiebeveiliging en risicomanagement kies je voor een bepaald ambitieniveau en maak je naar behoren gebruik van (onderdelen van) risicomanagementraamwerken. - Context
Neem de context mee in het maken van een keuze. Denk hierbij aan sector, afnemers, keten, internationaal, multinational en dergelijke.
Als je alles verzameld hebt over de raamwerken die voor jou een optie zijn is het van belang deze te beoordelen aan de hand van criteria die passen bij jouw situatie. Denk aan effectiviteit, toepasbaarheid, groeimogelijkheden e.d. Hier kunnen ook harde criteria bij zitten zoals wettelijke of afnemerseisen.
Door de selectie hiervoor kunnen de raamwerken al aan een aantal criteria voldoen. In deze stap zoom je dan nog wat specifieker in op jouw organisatie en welke raamwerken hiervoor het meest effectief zijn.
Als je de mogelijkheden in beeld hebt dan kun je op basis hiervan een raamwerk kiezen. Belangrijk is dat dit besluit door de gehele organisatie gedragen wordt: ook het bestuur of de leiding van de organisatie moet erachter staan.
Let er op bij het vaststellen van een raamwerk dat je voldoende tijd, geld en capaciteit reserveert om effectief met het raamwerk aan de slag te gaan. Dit houdt ook in dat je hiervoor capaciteit en mandaat verkrijgt.
Ten slotte is het van belang om stapsgewijs over te gaan tot implementatie en daarbij haalbaarheid en herhaalbaarheid in gedachten te houden. Dat zorgt ervoor dat de structuur en manier van werken geïntegreerd wordt in de organisatie en het gekozen raamwerk jou helpt, en niet hindert, bij het verhogen van de digitale weerbaarheid.
Gewenste eindsituatie
We adviseren om te streven naar een situatie waarbij:
- Een holistisch risicomanagementraamwerk wordt gebruikt door de organisatie.
- Kwadrantspecifieke raamwerken gebruikt worden om de juiste processen en beheersmaatregelen te implementeren.
- Sector- en technologiespecifieke risicomanagementuitdagingen via specialistische risicomanagementraamwerken geadresseerd worden.
Risicomanagement is inherent een cyclisch en continu proces. Daarom is deze stip op de horizon altijd relatief en afhankelijk van de huidige stand van de organisatie en ontwikkelingen in de omgeving. De raamwerken met de groeipaden kunnen daarom zeer nuttig zijn om de organisatie te helpen te groeien en te ontwikkelen. Daarom is een iteratieve, stapsgewijze benadering van digitaal risicomanagement cruciaal.
NIST crosswalks: het vergelijken van NIST met andere raamwerken:
- https://www.nist.gov/privacy-framework/resource-repository/browse/crosswalks/cybersecurity-framework-crosswalk
- https://csrc.nist.gov/projects/olir/informative-reference-catalog/details?referenceId=99#/
OpenCRE: linkt verschillende standaarden en raamwerken op controlniveau:
ENISA: de European Union Agency for Cybersecurity vergelijkt in dit document verschillende raamwerken:
- https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping
- https://www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks
De BIO wordt hierbij gemapt op NIS2:
NBA en NOREA bieden in deze publicatie ook een uitgebreide mapping van COBIT, ISO, NIST en BIO normen: