Programma Cyberveiligheid mbo
Benchmark IBP
In het mbo benchmarken we al sinds 2015 de kwaliteit van informatiebeveiliging en privacy van alle instellingen binnen Nederland instellingen. Met de Benchmark IBP onderzoeken hoe volwassen de informatiebeveiliging en privacy hebben georganiseerd. We gebruiken hiervoor toetsingskaders als meetlat. Op het gebied van informatiebeveiliging geven mbo-instellingen aan hoe ze scoren op de 69 statements van het SURFaudit toetsingskader Informatiebeveiliging (het NBA-model). Voor privacy doen ze dat (in 2024 voor het eerst) op 25 statements van het SURFaudit Toetsingskader Privacy, dat is gebaseerd op het AVG-borgingsproduct van de Vereniging Nederlandse Gemeenten.
IB-resultaten benchmark 2024
Alle 51(*) mbo-instellingen hebben aan de benchmark IBP 2024 deelgenomen. Die laat zien dat mbo-instellingen gemiddeld een volwassenheid voor informatiebeveiliging van 2,3 scoren. Dat is een groei van 0,2 ten opzichte van de IB-nulmeting die eind 2022 op verzoek van ons programma is uitgevoerd. Bij nadere analyse zien we bij alle statements een lichte groei.
De groei is iets sterker op de statements die te maken hebben met technische weerbaarheid. Dat is wellicht te verklaren door de speciale aandacht voor technische weerbaarheid vanuit het programma Cyberveiligheid. Met onder andere de MBOKS-sessies, het kanaal Technische weerbaarheid, schoolbezoeken en concrete handreikingen hebben we de IT-specialisten van de instellingen van praktische ondersteuning voorzien. Een van de statements op het gebied van technische weerbaarheid valt extra op: monitoring en logging stijgt met 0,7 naar een volwassenheidsscore van 2,4. Dit is volgens ons een mooie indicatie dat de stimuleringsregeling voor de implementatie van SURFsoc effect heeft gehad.
Privacy-resultaten Benchmark IBP
In de benchmark IBP 2024 komt ook de gemiddelde volwassenheidscore voor privacy uit op een 2,3. Het valt op dat het statement dat te maken heeft met het uitvoeren van DPIA’s vrij laag scoort. We hopen dat deze score volgend jaar beter is dankzij activiteiten die we vanuit het programma hebben opgezet. Zo voeren we vanuit het programma DPIA’s voor mbo-specifieke applicaties al sectoraal uit. En dragen we financieel bij aan de SURF Vendor Compliance dienst waarmee we sectorale DPIA’s samen met de hogescholen en de universiteiten gaan uitvoeren.
Veranderingen Benchmark IBP in 2024
In 2024 hebben mbo-instellingen voor het eerst de mbo-brede GRC-applicatie gebruikt om de Benchmark IBP in te vullen en op te sturen. Mbo-scholen gebruiken deze applicatie sinds begin van het jaar om hun volwassenheid op het gebied van informatiebeveiliging en privacy (IBP) te documenteren en de benodigde maatregelen te plannen. De instellingen zijn positief over de nieuwe manier van invullen en opsturen van de Benchmark IBP.
De ingeleverde mbo-scores worden vanaf dit jaar door SURFaudit verwerkt; eerder deed MBO Digitaal dit voor de mbo-scholen. SURFaudit verwerkt ook de scores van hogescholen en universiteiten en kan op die manier het overkoepelende sectorbeeld schetsen.
(*) Een aantal instellingen was bezig met een fusietraject. Deze scholen hebben de benchmark samen ingevuld.