Programma Cyberveiligheid mbo
Cyberrisicopooling
Bij cyberrisicopooling (of cyberriskpooling) delen alle mbo-instellingen onderling de securityrisco’s zonder tussenkomst van een verzekeraar. Daarmee biedt het concept een alternatief voor cyberverzekeringen. Leden van een risicopool hoeven alleen een financiële bijdrage te leveren als er daadwerkelijk schade is. Wat ze hierdoor uitsparen aan jaarlijkse verzekeringspremies, kunnen deelnemers investeren in mitigerende maatregelen. Risicopooling is daarnaast een enorme stimulans om nog intensiever met elkaar samen te werken op het gebied van cyberveiligheid. Zie ook de praatplaat in de bijlage onderaan deze pagina.
Gezamenlijke regie risicobeheersing
Een cyberrisicopool stimuleert mbo-instellingen namelijk om samen de regie op het beheersen van cyberrisico’s te nemen. Ze bepalen bijvoorbeeld gezamenlijk de toelatingseisen voor de pool en geven de schade-afhandeling vorm met partijen die ze daarvoor samen selecteren. Denk daarbij aan diensten op het gebied van SOC, CERT, cyber-forensics, incidentrespons, schade-expertise, uitwijkopties en de schadeafhandeling. Dit maakt het weer mogelijk om de diensten mbo-breed aan te besteden.
Passend bij mbo-brede aanpak
Hiermee past een cyberrisicopool voor het hele mbo goed binnen de gezamenlijke, mbo-brede aanpak vanuit het programma Cyberveiligheid. Een risicopool voor mbo-instellingen stimuleert samenwerking, wederzijdse monitoring, kennisdeling en bewustwording. Leren van elkaars ervaringen verhoogt het algemene niveau van cybersecurity. Ook geven we het sectorbreed gebruikte NBA-toetsingskader informatiebeveiliging nog meer betekenis als we de toelatingseisen voor de cyberrisicopool aan dit kader koppelen.
Voedingsbodem voor cyberrisicopool
Peter Vermeijs en Martijn Bijleveld onderzochten samen met wetenschapper Bernold Nieuwesteeg de mogelijkheden voor een mbo-brede cyberrisicopool. Ze kwamen tot de conclusie dat het de moeite loont om het pad naar een mogelijke cyberrisicopool samen verder te verkennen. Bovendien is er in het mbo een goede voedingsbodem voor, aldus de onderzoekers. De sector is groot genoeg om gezamenlijk het risico te dragen en klein genoeg om verantwoordelijkheid voor elkaar te voelen en elkaar aan te spreken. En er is een sterke wil om samen te werken: alleen samen kunnen we deze uitdaging aan, zoals we hebben vastgelegd in het convenant Cyberveiligheid. Daarin staat ook alvast een belangrijk uitgangspunt voor de gezamenlijke cyberrisicopool: we geven als sector niet toe aan afpersing en betalen niet aan criminelen.
Vervolgstappen noodzakelijk
Tijdens de MBO Digitaal conferentie van begin maart 2024 hebben mbo-bestuurders groen licht gegeven om de risicopool daadwerkelijk te starten. Op dit moment werken we vanuit het programma de voorwaarden voor een mbo-brede cyberrisicopool verder uit. Bijvoorbeeld over de juridische vorm, de toelatingscriteria, de overgangsfase, de verdeelsleutel van het schadebedrag en het gemeenschappelijk organiseren van processen. Uiterlijk op 3 oktober 2024, bij de volgende MBO Digitaal bestuurdersbijeenkomst, presenteren we een uitgewerkt voorstel.