Programma Cyberveiligheid mbo

Cyberrisicopooling

Instellingen kunnen zich verzekeren tegen de gevolgen van cyberrisico’s. Maar verzekeringspremies stijgen en ingangseisen worden almaar strenger. Dat maakt het voor sommige mbo-instellingen bijna onmogelijk zo’n cyberverzekering af te sluiten. Dit is een van de redenen waarom bestuurders hebben besloten om een mbo-brede cyberrisicopool te starten. De komende periode werken we de voorwaarden van de pool verder uit. Belangrijk uitgangspunt hierbij is dat we niet toegeven aan afpersing en niet betalen aan criminelen.

Bij cyberrisicopooling (of cyberriskpooling) delen alle mbo-instellingen onderling de securityrisco’s zonder tussenkomst van een verzekeraar. Daarmee biedt het concept een alternatief voor cyberverzekeringen. Leden van een risicopool hoeven alleen een financiële bijdrage te leveren als er daadwerkelijk schade is. Wat ze hierdoor uitsparen aan jaarlijkse verzekeringspremies, kunnen deelnemers investeren in mitigerende maatregelen. Risicopooling is daarnaast een enorme stimulans om nog intensiever met elkaar samen te werken op het gebied van cyberveiligheid. Zie ook de praatplaat in de bijlage onderaan deze pagina. 

Gezamenlijke regie risicobeheersing 

Een cyberrisicopool stimuleert mbo-instellingen namelijk om samen de regie op het beheersen van cyberrisico’s te nemen. Ze bepalen bijvoorbeeld gezamenlijk de toelatingseisen voor de pool en geven de schade-afhandeling vorm met partijen die ze daarvoor samen selecteren. Denk daarbij aan diensten op het gebied van SOC, CERT, cyber-forensics, incidentrespons, schade-expertise, uitwijkopties en de schadeafhandeling. Dit maakt het weer mogelijk om de diensten mbo-breed aan te besteden.  

Passend bij mbo-brede aanpak 

Hiermee past een cyberrisicopool voor het hele mbo goed binnen de gezamenlijke, mbo-brede aanpak vanuit het programma Cyberveiligheid. Een risicopool voor mbo-instellingen stimuleert samenwerking, wederzijdse monitoring, kennisdeling en bewustwording. Leren van elkaars ervaringen verhoogt het algemene niveau van cybersecurity. Ook geven we het sectorbreed gebruikte NBA-toetsingskader informatiebeveiliging nog meer betekenis als we de toelatingseisen voor de cyberrisicopool aan dit kader koppelen.  

Voedingsbodem voor cyberrisicopool

Peter Vermeijs en Martijn Bijleveld onderzochten samen met wetenschapper Bernold Nieuwesteeg de mogelijkheden voor een mbo-brede cyberrisicopool. Ze kwamen tot de conclusie dat het de moeite loont om het pad naar een mogelijke cyberrisicopool samen verder te verkennen. Bovendien is er in het mbo een goede voedingsbodem voor, aldus de onderzoekers. De sector is groot genoeg om gezamenlijk het risico te dragen en klein genoeg om verantwoordelijkheid voor elkaar te voelen en elkaar aan te spreken. En er is een sterke wil om samen te werken: alleen samen kunnen we deze uitdaging aan, zoals we hebben vastgelegd in het convenant Cyberveiligheid. Daarin staat ook alvast een belangrijk uitgangspunt voor de gezamenlijke cyberrisicopool: we geven als sector niet toe aan afpersing en betalen niet aan criminelen. 

Vervolgstappen noodzakelijk

Tijdens de MBO Digitaal conferentie van begin maart 2024 hebben mbo-bestuurders groen licht gegeven om de risicopool daadwerkelijk te starten. Op dit moment werken we vanuit het programma de voorwaarden voor een mbo-brede cyberrisicopool verder uit. Bijvoorbeeld over de juridische vorm, de toelatingscriteria, de overgangsfase, de verdeelsleutel van het schadebedrag en het gemeenschappelijk organiseren van processen. Tijdens de MBO Digitaal bestuurdersbijeenkomst hebben we hiervoor een uitgewerkt voorstel gepresenteerd.

Contactpersoon

Neem contact op met Martijn Bijleveld of Peter Vermeijs voor meer informatie.