Instellingen kunnen zich verzekeren tegen de gevolgen van cyberrisico’s. Maar verzekeringspremies stijgen en ingangseisen worden almaar strenger. Dat maakt het voor sommige mbo-instellingen bijna onmogelijk zo’n cyberverzekering af te sluiten. Dit is een van de redenen waarom we de mogelijkheden voor een mbo-breed alternatief, cyberriskpooling, onderzoeken.

Bij cyberriskpooling (of cyberrisicopooling) delen alle mbo-instellingen onderling de securityrisco’s zonder tussenkomst van een verzekeraar. Daarmee biedt het concept een alternatief voor cyberverzekeringen. Leden van een riskpool hoeven alleen een financiële bijdrage te leveren als er daadwerkelijk schade is. Wat ze hierdoor uitsparen aan jaarlijkse verzekeringspremies, kunnen deelnemers investeren in mitigerende maatregelen.  

Gezamenlijke regie risicobeheersing 

Een cyberriskpool stimuleert mbo-instellingen om samen de regie op het beheersen van cyberrisico’s te nemen. Ze bepalen bijvoorbeeld gezamenlijk de toelatingseisen voor de pool en geven de schade-afhandeling vorm met partijen die ze daarvoor samen selecteren. Denk daarbij aan diensten op het gebied van SOC, CERT, cyber-forensics, incidentrespons, schade-expertise, uitwijkopties en de schadeafhandeling. Dit maakt het weer mogelijk om de diensten mbo-breed aan te besteden.  

Passend bij mbo-brede aanpak 

Hiermee past een cyberriskpool voor het hele mbo goed binnen de gezamenlijke, mbo-brede aanpak vanuit het programma Cyberveiligheid. Een risicopool voor mbo-instellingen stimuleert samenwerking, wederzijdse monitoring, kennisdeling en bewustwording. Leren van elkaars ervaringen verhoogt het algemene niveau van cybersecurity. Ook geven we het sectorbreed gebruikte NBA-toetsingskader informatiebeveiliging nog meer betekenis als we de toelatingseisen voor de cyberriskpool aan dit kader koppelen.  

Vervolgstappen noodzakelijk 

Peter Vermeijs en Martijn Bijleveld onderzochten samen met wetenschapper Bernold Nieuwesteeg de mogelijkheden voor een mbo-brede cyberriskpool. Hun bevindingen noteerden ze in een memo (op aanvraag beschikbaar via de mailadressen hieronder). Hierin beschrijven ze dat er eerst allerlei zaken bepaald moeten worden, waaronder de juridische vorm van de pool. Verder moet er natuurlijk ook een brede consensus zijn over de voorwaarden van het contract, de toelatingscriteria, de overgangsfase, de verdeelsleutel van het schadebedrag en het gemeenschappelijk organiseren van processen.  

Samen verkennen 

De onderzoekers zijn ervan overtuigd dat het de moeite loont om het pad naar een mogelijke cyberriskpool samen verder te verkennen. Dat doen ze onder meer door het gedachtegoed verder te verspreiden in diverse lagen van de scholen. En door feedbackrondes te organiseren met relevante netwerken, zoals SURF contactpersonen (CSC’s) en de netwerken van de MBO Raad (netwerk verzekeringen, juristennetwerk). Ook besteden ze veel aandacht aan de mogelijkheden van een cyberriskpool tijdens de MBO Digitaal conferentie: op 7 maart met de mbo-bestuurders en op 8 maart met geïnteresseerden vanuit de netwerken van MBO Digitaal.

Contactpersoon

Neem contact op met Martijn Bijleveld of Peter Vermeijs voor meer informatie.