Programma Cyberveiligheid mbo
Mbo-brede Cyberweerbaarheidspool
In de Cyberweerbaarheidspool nemen mbo-instellingen gezamenlijk de verantwoordelijkheid voor cyberrisico’s van scholen en samenwerking op het gebied van cyberveiligheid. Instellingen maken hiervoor solide afspraken over onder andere weerbaarheidseisen en organiseren gezamenlijk het toezicht op het naleven daarvan. Als sluitstuk van deze afspraken staan zij financieel garant voor elkaar, voor het geval dat een van de instellingen getroffen wordt door een cyberaanval.
Samen de cyberveiligheid van de sector verhogen
Met de Cyberweerbaarheidspool verankeren we de stappen die we tot nu toe vanuit het programma Cyberveiligheid hebben gezet om samen de cyberveiligheid van de sector te verhogen. De basis daarvoor hebben we gelegd met het Convenant Cyberveiligheid. En dankzij onder andere de mbo-brede GRC-applicatie TrustBound, de externe security-audits door Deloitte en ondersteuning bij scholen door SURF en andere cyberexperts, zijn we in het mbo meer en beter gaan samenwerken.
Volgende stap naar een cyberweerbaar mbo
De Cyberweerbaarheidspool is een logische vervolgstap en de mbo-brede samenwerking is hierbij een cruciaal uitgangspunt. In de pool nemen we als mbo-instellingen immers heel concreet verantwoordelijkheid voor elkaar. Daarom hebben we er samen belang bij om te leren, te verbeteren en elkaar scherp te houden. Zo groeit de sector als geheel in volwassenheid op het gebied van cybersecurity.
In de animatie hieronder leggen we uit hoe de Cyberweerbaarheidspool werkt.
Uitgangspunten Cyberweerbaarheidspool
De Cyberweerbaarheidspool kent een aantal belangrijke uitgangspunten:
- Er gelden strikte voorwaarden voor het kunnen aanspreken van de garantstelling.
- Deze voorwaarden, bijvoorbeeld op het gebied van volwassenheid van de informatiebeveiligingsmaatregelen, worden getoetst door een onafhankelijke externe toetsing.
- Een eventuele schade van een instelling wordt vergoed via een collectieve voorziening waaraan alle mbo-instellingen bijdragen. Instellingen betalen dus geen premie en leveren alleen een financiële bijdrage als er daadwerkelijk schade is. Hiermee is het concept in principe een alternatief voor individuele cyberverzekeringen. De bedragen die instellingen uitsparen aan jaarlijkse verzekeringspremies, kunnen ze investeren in mitigerende maatregelen.
- De instellingen dragen naar draagkracht bij aan zowel de vaste als de incidentele kosten.
Weerbaarheidseisen en -kosten
Scholen bepalen gezamenlijk de voorwaarden voor de pool. Ook geven ze de schadeafhandeling vorm met partijen die ze daarvoor samen selecteren. Denk daarbij aan diensten op het gebied van incidentrespons, cyberforensics, schade-expertise, uitwijkopties en de schadeafhandeling. Omdat een groot deel van deze diensten gezamenlijk via de Cyberweerbaarheidspool verloopt, is het mogelijk om deze mbo-breed aan te besteden. Dat geeft de sector naast het kwaliteitsvoordeel ook meer grip op de kosten voor cybersecurity.
Concrete uitwerking
Vanuit het programma Cyberveiligheid hebben we samen met experts uit onze netwerken de Cyberweerbaarheidspool uitgewerkt. De uitwerking is verdeeld in de volgende onderwerpen:
- Reglement, afspraken en procedures.
- Volwassenheidseisen, ingroeimodel en auditaanpak.
- Technische weerbaarheidseisen, inclusief (SURF)soc.
- Integrale aanpak en samenhang (GRC, audits, SURFcert, incidentrespons en ondersteuning).
Uitgebreide informatie en documentatie over deze onderwerpen zijn beschikbaar in de SharePoint-omgeving van MBO Raad.
Roadmap Cyberweerbaarheidspool
Met de komst van de Cyberweerbaarheidspool krijgen onderwijsinstellingen te maken met strikte weerbaarheidseisen. Deze zijn bedoeld om elkaar garanties te geven, maar vormen vooral een sterke prikkel om samen te groeien in cyberweerbaarheid. Vanuit het programma Cyberveiligheid zetten we ons laatste anderhalve jaar vol in om de instellingen daarbij te ondersteunen.
We hebben een roadmap uitgestippeld, die instellingen helpt om stap voor stap aan de eisen voor de pool te voldoen. Door dit samen, in dezelfde volgorde en in hetzelfde tempo te doen, geven we de instellingen houvast en kunnen we centraal activiteiten organiseren, efficiënt ondersteuning aanbieden en stimuleren we de onderlinge samenwerking.
Fasen roadmap Cyberweerbaarheidspool
De roadmap bestaat uit drie samenhangende fasen. In de eerste fase ligt de focus op het op orde brengen van de basis zoals governance, risicomanagement, dataclassificatie, continuïteit en bewustwording. In fase twee verschuift de aandacht naar werkende kernmaatregelen en operationele beveiliging, waaronder identity- en accessmanagement, incidentrespons, logging, monitoring en kwetsbaarhedenbeheer. De derde fase richt zich op integratie en borging, zodat maatregelen niet alleen werken, maar ook structureel zijn ingebed en aantoonbaar standhouden.
Uitgangspunt is dat instellingen zelf regie houden over de implementatie, passend bij hun eigen startpunt en context. Vanuit het programma ondersteunen we dit met templates, best practices, trainingen, workshops en gerichte coaching. Instellingen leggen voortgang en aantoonbaarheid vast in de mbo-brede GRC-applicatie TrustBound.
Planning Cyberweerbaarheidspool
De start van de Cyberweerbaarheidspool is gepland op 1 oktober 2027: direct na afsluiting van het programma Cyberveiligheid. Daarmee is het de borging van de activiteiten die we in het programma hebben uitgevoerd. Om die startdatum te halen, moeten op korte termijn diverse activiteiten in gang worden gezet. Naast de hiervoor genoemde roadmap gaat het daarbij ook om aanbestedingen, bijvoorbeeld op het gebied van security-audits en incidentrespons. Het bestuurlijke besluit voor de Cyberweerbaarheidspool is eind juni 2026 voorzien.