Groen licht voor cyberrisicopool
Tijdens de bestuurdersbijeenkomst van de MBO Digitaal Conferentie hebben de aanwezige bestuurders unaniem besloten dat een gezamenlijke cyberrisicopool een belangrijke impuls is om intensiever samen te werken op het gebied van cyberveiligheid. De komende periode werken we voorwaarden voor zo’n risicopool verder uit.
Cyberrisicopooling houdt in dat we als sector gemeenschappelijk het risico dragen als een van de mbo-instellingen te maken krijgt met een hack. In de afgelopen periode hebben Peter Vermeijs en Martijn Bijleveld van het programma Cyberveiligheid mbo samen met wetenschapper Bernold Nieuwesteeg de mogelijkheden voor een mbo-brede cyberrisicopool uitgebreid onderzocht. Aanvankelijk alleen als alternatief voor cyberverzekeringen, maar gaandeweg kwamen ze erachter dat cyberrisicopooling veel meer is dan dat. Risicopooling is ook een enorme stimulans om nog intensiever met elkaar samen te werken op het gebied van cyberveiligheid.
Bovendien is er in het mbo een goede voedingsbodem voor, aldus de onderzoekers. De sector is groot genoeg om gezamenlijk het risico te dragen en klein genoeg om verantwoordelijkheid voor elkaar te voelen en elkaar aan te spreken. En er is een sterke wil om samen te werken: alleen samen kunnen we deze uitdaging aan, zoals we hebben vastgelegd in het convenant Cyberveiligheid. Daarin staat ook alvast een belangrijk uitgangspunt voor de gezamenlijke cyberrisicopool: we geven als sector niet toe aan afpersing en betalen niet aan criminelen.
Samenwerken in het mbo
Tijdens de bestuurdersbijeenkomst op donderdag 7 maart stond het onderwerp cyberrisicopooling op de agenda. Het was een van de casussen waarmee de bestuurders met elkaar verkenden in hoeverre we nu echt willen samenwerken in het mbo. Pauline Satter (voorzitter kerngroep MBO Digitaal) leidde het onderwerp aan de hand van de praatplaat (zie bijlage onderaan deze pagina) in, waarna de aanwezige bestuurders van 40 instellingen erover in gesprek gingen. Daarbij was er veel aandacht voor de randvoorwaarden, bijvoorbeeld over waaraan instellingen moeten voldoen om aan de pool mee te mogen doen.
Vertrouwen in cyberrisicopool
Uiteindelijk scherpten de gespreksleiders Pauline Satter en Stephanie Ottenheim verder aan tot de kern: durven we het aan? Vertrouwen we elkaar en voelen we die verantwoordelijkheid voor elkaar? In de daaropvolgende discussie werd de parallel met een huwelijk getrokken: je besluit met elkaar te trouwen en pas daarna bepaal je samen de huwelijkse voorwaarden. Zo is het hier ook: we hebben besloten om samen een risicopool te starten en de voorwaarden de komende periode verder uit te werken. De aanwezige bestuurders konden zich unaniem vinden in deze aanpak.
Zo gaan we verder
De komende maanden organiseren we vanuit het programma Cyberveiligheid meerdere informatie- en feedbackbijeenkomsten over cyberrisicopooling voor bestuurders. Met diverse domeinspecialisten brengen we de implicaties op technisch, juridisch en organisatorisch gebied scherper in beeld. Mede op basis van deze bevindingen werken we de voorwaarden voor een cyberrisicopool verder uit. Uiterlijk op 3 oktober 2024, bij de volgende MBO Digitaal bestuurdersbijeenkomst, presenteren we een uitgewerkt voorstel.