Programma Cyberveiligheid mbo

Mbo-brede cyberweerbaarheidspool

Een gezamenlijke cyberweerbaarheidspool is de volgende stap op weg naar een weerbaardere mbo-sector. Uitgangspunt is dat mbo-instellingen samen garant staan voor de gevolgen van cyberaanvallen en zich daar gezamenlijk tegen wapenen. Dit is in lijn met het Convenant Cyberveiligheid en een impuls voor de verdere groei in volwassenheid op het gebied van cybersecurity van de hele sector.

In de cyberweerbaarheidspool nemen mbo-instellingen gezamenlijk de verantwoordelijkheid voor cyberrisico’s van scholen en samenwerking op het gebied van cyberveiligheid. Instellingen maken hiervoor solide afspraken over onder andere weerbaarheidseisen en organiseren gezamenlijk het toezicht op het naleven daarvan.

Samen de cyberveiligheid van de sector verhogen

Met de cyberweerbaarheidspool verankeren we de stappen die we tot nu toe vanuit het programma Cyberveiligheid hebben gezet om samen de cyberveiligheid van de sector te verhogen. De basis daarvoor hebben we gelegd met het Convenant Cyberveiligheid. En dankzij onder andere de mbo-brede GRC-applicatie TrustBound, de externe security-audits door Deloitte en ondersteuning bij scholen door SURF en andere cyberexperts, zijn we in het mbo meer en beter gaan samenwerken.

Volgende stap naar een cyberweerbaar mbo

De cyberweerbaarheidspool is een logische vervolgstap en de mbo-brede samenwerking is hierbij een cruciaal uitgangspunt. In de cyberweerbaarheidspool nemen we als mbo-instellingen immers heel concreet verantwoordelijkheid voor elkaar. Daarom hebben we er samen belang bij om te leren, te verbeteren en elkaar scherp te houden. Zo groeit de sector als geheel in volwassenheid op het gebied van cybersecurity.

Van cyberrisicopool naar cyberweerbaarheidspool

De cyberweerbaarheidspool ging van start als cyberrisicopool. Het accent lag op de gezamenlijke garantstelling voor schade als gevolg van een cyberaanval. Die garantstelling is een belangrijk aspect, maar wat het echt interessant maakt, is de wederzijdse verantwoordelijkheid binnen de risicopool. Die stimuleert mbo-instellingen om nog intensiever samen te werken en samen de regie op het beheersen van cyberrisico’s te nemen. Bijvoorbeeld door de gezamenlijke aanbesteding van security-audits, incidentrespons en afstemming met SURFcert.

Aanjager voor samenwerking

Hiermee wordt vooral duidelijk dat de risicopool veel meer is dan een garantiefonds voor cyberaanvallen. Het is een krachtige aanjager voor mbo-breed samenwerken aan cyberweerbaarheid. Daarbij past ook een nieuwe naam, de cyberweerbaarheidspool. In de communicatie kom je voorlopig beide begrippen nog tegen, maar we bedoelen hetzelfde: het totaal aan afspraken en ondersteuning, waarbij we elkaar scherp houden op cyberweerbaarheid.

In de animatie hieronder leggen we uit hoe de cyberweerbaarheidspool werkt. De video verwijst nog naar de term cyberrisicopool, maar de inhoud is dus gelijk. Zie ook de praatplaat onderaan deze pagina.

Uitgangspunten cyberweerbaarheidspool

De mbo-brede cyberweerbaarheidspool kent een aantal belangrijke uitgangspunten:

  • Er gelden strikte voorwaarden voor het kunnen aanspreken van de cyberweerbaarheidspool.
  • Deze voorwaarden, bijvoorbeeld op het gebied van volwassenheid van de IB-maatregelen, worden getoetst door een onafhankelijke externe toetsing.
  • Een eventuele schade van een instelling wordt vergoed via een contractuele garantstelling door alle leden. Instellingen betalen dus geen premie en de pool legt geen fonds aan. De leden leveren alleen een financiële bijdrage als er daadwerkelijk schade is. Hiermee is het concept in principe een alternatief voor individuele cyberverzekeringen. De bedragen die instellingen uitsparen aan jaarlijkse verzekeringspremies, kunnen ze investeren in mitigerende maatregelen.
  • De leden dragen naar draagkracht bij aan zowel de vaste als de incidentele kosten.

Weerbaarheidseisen en -kosten

Scholen bepalen gezamenlijk de voorwaarden voor de pool. Ook geven ze de schade-afhandeling vorm met partijen die ze daarvoor samen selecteren. Denk daarbij aan diensten op het gebied van SOC, CERT, cyberforensics, incidentrespons, schade-expertise, uitwijkopties en de schadeafhandeling. Omdat een groot deel van deze diensten gezamenlijk via de cyberweerbaarheidspool verloopt, is het mogelijk om deze mbo-breed aan te besteden. Dat geeft de sector naast het kwaliteitsvoordeel ook meer grip op de kosten voor cybersecurity.

Concrete uitwerking

Vanuit het programma Cyberveiligheid werken we samen met experts uit onze netwerken aan de verdere uitwerking van de cyberweerbaarheidspool. Die uitwerking is verdeeld in de volgende onderwerpen:

  • Reglement, afspraken, procedures & spelregels.
  • Volwassenheidseisen, ingroeimodel en auditaanpak.
  • Technische weerbaarheidseisen, inclusief (SURF)soc.
  • Integrale aanpak en samenhang (GRC, audits, SURFcert, incidentrespons en ondersteuning)

Contactpersoon

Neem contact op met Martijn Bijleveld of Peter Vermeijs voor meer informatie.