Programma Cyberveiligheid mbo

Mbo-brede cyberrisicopool

Een gezamenlijke cyberrisicopool is de volgende stap op weg naar een weerbaardere mbo-sector. Uitgangspunt is dat mbo-instellingen samen garant staan voor de gevolgen van cyberaanvallen. Dit is in lijn met het Convenant Cyberveiligheid en een impuls voor de verdere groei in volwassenheid op het gebied van cybersecurity van de hele sector.

In de cyberrisicopool nemen mbo-instellingen gezamenlijk de verantwoordelijkheid voor cyberrisico’s van scholen en samenwerking op het gebied van cyberveiligheid. Instellingen maken hiervoor solide afspraken over onder andere weerbaarheidseisen en organiseren gezamenlijk het toezicht op het naleven daarvan.

Samen de cyberveiligheid van de sector verhogen

Met de risicopool verankeren we de stappen die we tot nu toe vanuit het programma Cyberveiligheid hebben gezet om samen de cyberveiligheid van de sector te verhogen. De basis daarvoor hebben we gelegd met het Convenant Cyberveiligheid. En dankzij onder andere de mbo-brede GRC-applicatie TrustBound, de externe security-audits door Deloitte en ondersteuning bij scholen door SURF en andere cyberexperts, zijn we in het mbo meer en beter gaan samenwerken. De cyberrisicopool is een logische vervolgstap. Mbo-instellingen kunnen hierin verder samenwerken aan het verhogen van de cyberveiligheid van de sector.

In de animatie hieronder leggen we uit hoe een cyberrisicopool werkt. Zie ook de praatplaat in de bijlage onderaan deze pagina.

Bevorderen kennisdeling en samenwerking

Doel van de cyberrisicopool is het bevorderen van mbo-brede informatie-uitwisseling en samenwerking op het gebied van cyberweerbaarheid. De gezamenlijke verantwoordelijkheid binnen de risicopool stimuleert mbo-instellingen om samen de regie op het beheersen van cyberrisico’s binnen de sector te nemen. Dit geeft een impuls aan samenwerking, wederzijdse monitoring, kennisdeling en bewustwording in het mbo. Instellingen kunnen zo van elkaars ervaringen leren, waardoor de sector als geheel groeit in volwassenheid op het gebied van cybersecurity.

Uitgangspunten cyberrisicopool

De mbo-brede cyberrisicopool kent een aantal belangrijke uitgangspunten:

Eventuele schade van een instelling wordt vergoed via een contractuele garantstelling door alle leden. Instellingen betalingen dus geen premie en de risicopool legt geen fonds aan. De leden van de risicopool leveren alleen een financiële bijdrage als er daadwerkelijk schade is. Hiermee is het concept in principe een alternatief voor individuele cyberverzekeringen. De bedragen die instellingen uitsparen aan jaarlijkse verzekeringspremies, kunnen ze investeren in mitigerende maatregelen.
Er gelden strikte voorwaarden voor het kunnen aanspreken van de risicopool.
De leden dragen bij naar draagkracht, zowel voor de vaste- als de incidentele kosten.
De cyberrisicopool is een collectieve voorziening waaraan alle mbo-instellingen meedoen.

Weerbaarheidseisen en cybersecuritykosten

Scholen bepalen gezamenlijk de voorwaarden voor de pool. Ook geven ze de schade-afhandeling vorm met partijen die ze daarvoor samen selecteren. Denk daarbij aan diensten op het gebied van SOC, CERT, cyberforensics, incidentrespons, schade-expertise, uitwijkopties en de schadeafhandeling. Omdat een groot deel van deze diensten gezamenlijk via de cyberrisicopool verlopen, is het mogelijk om deze mbo-breed aan te besteden. Dat geeft de sector naast het kwaliteitsvoordeel ook meer grip op de kosten voor cybersecurity.

Contactpersoon

Neem contact op met Martijn Bijleveld of Peter Vermeijs voor meer informatie.

Bijlagen

Praatplaat cyber risk pooling 13-03-24 (3000p) (pdf)