Roadmap Cyberweerbaarheidspool: samen op weg naar een aantoonbaar weerbare sector
De mbo-brede Cyberweerbaarheidspool vraagt van instellingen dat zij aantoonbaar voldoen aan volwassenheidseisen uit het NBA-toetsingskader informatiebeveiliging. Om instellingen hierin te ondersteunen heeft het programma Cyberveiligheid een roadmap opgesteld. In mei was de aftrap: ‘De ambities van het mbo zijn fors, maar samen groeien we naar een sector die aantoonbaar cyberweerbaar is’.
Met bestuurlijke afspraken hebben we ambitieuze doelen voor de cyberveiligheid van de sector vastgelegd. In 2029 willen we mbo-breed een gemiddeld volwassenheidsniveau van 3,0 scoren op het NBA-toetsingskader, en een jaar later moet elke individuele instelling op dat niveau zitten.
Van 1,8 naar 3,0: een forse ambitie
‘En daarvoor hebben we nog wel een weg te gaan’, vertelt programmamanager Martijn Bijleveld. ‘De externe security-audits geven aan dat het huidige sectorgemiddelde 1,8 is. Daarmee is de sprong naar een gemiddeld volwassenheidsniveau 3.0 in 2029 bijna onoverbrugbaar. Met de cyberweerbaarheidspool zetten we een concreet baken op weg naar die streefvolwassenheid.’
Volwassenheidseisen voor 22 statements
Om in september 2027 aanspraak te kunnen maken op de garantstelling vanuit de pool gelden er volwassenheidseisen voor 22 van de 69 statements uit het toetsingskader. Deze statements zijn bovengemiddeld bepalend voor de cyberweerbaarheid en moeten voor het grootste deel op niveau 3 uitkomen. Martijn: ‘Zo brengen we een duidelijke prioritering aan en bereiken we volgens de prognose in 2027 ruimschoots een gemiddeld niveau van 2,3. We liggen dan op schema richting onze ambities voor 2029/2030. En we zorgen er zo voor dat we op een verantwoorde manier voor elkaar garant kunnen staan als de cyberweerbaarheidspool in september 2027 van start gaat. De komende periode ondersteunen we vanuit het programma instellingen ook volop om concreet aan de slag te gaan met de 22 statements.’
Waarom een roadmap?
De roadmap maakt de opgave voor instellingen overzichtelijk, haalbaar en beheersbaar. ‘De roadmap laat zien wat er wanneer moet gebeuren en waarom’, licht Edo Meinema van het programma toe. ‘In de eerste fase brengen we de basis op orde: onder andere governance, risicomanagement en bewustwording. In fase twee verschuift de aandacht naar werkende kernmaatregelen en operationele beveiliging. En in fase drie zorgen we dat alles structureel is ingebed en aantoonbaar standhoudt.’ Op deze manier wordt de opgave, individueel en voor de sector, overzichtelijk, haalbaar en beheersbaar.
Regie blijft bij de instellingen
Een belangrijk uitgangspunt van de roadmap is dat instellingen zelf de regie houden. ‘We gaan voor uniformiteit waar mogelijk en maatwerk waar nodig’, vat Edo het samen. ‘Wie al verder is, kan opgedane kennis delen. Wie ondersteuning nodig heeft, kan dit aanvragen vanuit het programma. We beschikken namelijk over een berg aan opgedane kennis en ervaring bij de verschillende instellingen. Omdat alle instellingen hetzelfde stappenplan in hetzelfde ritme volgen, kunnen we vanuit het programma centraal activiteiten organiseren en van elkaar leren.’
Wat het programma Cyberveiligheid biedt
Het programma biedt tijdens de roadmap een uitgebreid palet aan sectorbrede en individuele ondersteuning: inloopspreekuren, online en on-site workshops, schrijfsessies voor beleidsdocumenten, themagerichte coaching en individuele begeleiding van team of bestuur. CISO as a Service van het programma, Henry Meutstege, staat hiervoor samen met Edo paraat. Ook is het team recent uitgebreid met de ervaren CISO’s Matijs van Hilst en John Strijker. ‘Met zijn vieren zijn we beschikbaar om instellingen op locatie of op afstand te helpen,’ vertelt Edo.
…en wat instellingen zelf doen
‘Van instellingen verwachten we hiervoor commitment en transparantie over de voortgang terug’, vult Henry Meutstege aan. ‘Niet om te toetsen, maar zodat we kunnen bijsturen als dat nodig is. We willen voorkomen dat we in september 2027 tot de conclusie komen dat we iets gemist hebben.’ In de mbo-brede GRC-applicatie TrustBound is hiervoor voor elk statement van het toetsingskader een overzichtelijke takenlijst ontwikkeld. ‘Die biedt ook duidelijkheid voor de instellingen: zij zien hier wat de planning, status en voortgang van de taken op de roadmap zijn.’
Samen werken aan een cyberweerbaarder mbo
‘Wij leveren de structuur, de kennis en de ondersteuning,’ vat Edo de roadmap samen. ‘De instellingen leveren de regie en het commitment. We hebben veel kennis in de sector, verspreid over alle instellingen. Als we samen optrekken, kan elke instelling op alle onderdelen volwassener worden. Samen werken we aan één doel: een mbo-sector die aantoonbaar cyberweerbaar is.’
Meer weten over de roadmap of de Cyberweerbaarheidspool? Neem contact op met Edo Meinema of Henry Meutstege.