Minister Bruins van Onderwijs brengt hogescholen en universiteiten onder de nieuwe Cyberbeveiligingswet (Cbw). Hiermee worden cyberveiligheidseisen wettelijk verankerd in plaats van via bestuurlijke afspraken. De minister reageert daarmee op de toenemende cyberdreiging richting het onderwijs, die recent bleek bij een aanval op de TU Eindhoven en onderwijsvereniging SURF.
De minister wijst erop dat de digitale dreiging voor het hele onderwijs toeneemt en complexer wordt. Onderwijsinstellingen zijn niet alleen zelf doelwit van cyberaanvallen, maar kunnen ook fungeren als tussenstap voor aanvallen op andere organisaties in het digitale ecosysteem.
De minister kiest voor een gefaseerde aanpak bij het onderbrengen van hogescholen en universiteiten onder de Cyberbeveiligingswet. Bij de inwerkingtreding van de wet gelden direct de meldplicht en registratieplicht, inclusief toezicht daarop. Ook krijgen instellingen wettelijk recht op bijstand door een Computer Security Incident Response Team (CSIRT).
De zorgplicht en het bijbehorende toezicht volgen pas later. Dit geeft instellingen tijd om zich voor te bereiden op de nieuwe eisen. “Door de zorgplicht en het toezicht daarop later in te laten gaan wil ik de instellingen nadrukkelijk de tijd geven om zich zorgvuldig voor te kunnen bereiden”, aldus Bruins in zijn brief aan de Tweede Kamer.
Mbo blijft buiten wet
Opvallend is dat mbo-instellingen niet onder de Cbw worden gebracht. Wel benadrukt de minister het belang dat ook het mbo blijft werken aan het verhogen van de cyberweerbaarheid. De bestuurlijke afspraken met mbo-, hbo- en wo-instellingen worden vernieuwd qua ambitie, inhoud en tijdspad.
De mbo-instellingen hebben de afgelopen jaren al flink ingezet op het verhogen van hun cyberweerbaarheid. Ze werken tot en met 2027 samen binnen het programma Cyberveiligheid mbo aan gezamenlijke initiatieven, zoals een cyberrisicopool en een ‘CISO as a service’.
Volgens minister Bruins sluiten de inhoudelijke normen in de Cyberbeveiligingswet grotendeels aan bij de manier waarop het vervolgonderwijs al werkt aan het verhogen van cyberweerbaarheid via bestuurlijke afspraken. Onderwijsinstellingen hebben de afgelopen jaren al belangrijke stappen gezet met een goede inrichting van risicomanagement.
Het besluit om hogescholen en universiteiten onder de Cbw te brengen komt na intensief overleg met alle betrokken stakeholders. Hoewel de instellingen zorgen hebben geuit over de uitvoeringslast, heeft de minister besloten dat een wettelijke verankering noodzakelijk is gezien de toenemende digitale dreiging.