Impact NIS2 op samenwerking en afspraken op het gebied van IBP

Elk jaar meten we de volwassenheid op het gebied van informatiebeveiliging aan de hand van een toetsingskader. Sinds drie jaar gebruiken we in het mbo, evenals de hogescholen en de universiteiten, hiervoor het SURFaudit toetsingskader, dat is gebaseerd op het volwassenheidsmodel Informatiebeveiliging van NOREA en NBA. Omdat we gebruikmaken van hetzelfde toetsingskader, kunnen we van elkaar leren en goed samenwerken in SURF-verband. Bijvoorbeeld in de Innovatiezone State of the art (cyber)veiligheid of het Security Expertise Centrum.

De gemeten volwassenheid van de drie sectoren bij de meest recente benchmark Informatiebeveiliging van maart 2024.

Discussie over NIS2 

Het afgelopen jaar is er met name binnen de hogescholen en universiteiten veel gesproken over de NIS2, de Network and Information Security Directive. Dit is de nieuwe Europese richtlijn op het gebied van cyberweerbaarheid, die op dit moment wordt omgezet in Nederlandse wetgeving. NIS2 noemt een aantal sectoren die automatisch onder de richtlijn vallen. Hoewel het Nederlandse onderwijs daar niet bij staat, heeft de de minister van OCW via de ‘kan-bepaling’ wel de mogelijkheid om bepaalde onderwijssectoren onder de NIS2 te laten vallen. Dat betreft dan eventueel de universiteiten en de hogescholen, want nu al staat vast dat de minister het mbo niet aanwijst. En toch is dit een discussie die ook ons raakt. 

De impact van de NIS2 op het mbo 

De discussie over de NIS2 heeft indirect betrekking op het mbo, omdat we in SURF-verband samenwerken aan cyberveiligheid. Als een deel van de sectoren onder de NIS2 valt, krijgen we binnen SURF een tweedeling op het gebied van cyberveiligheid, met verschillende toetsingskaders, prioriteiten, accenten enzovoort. Dat is niet in het belang van het mbo en daarom trekt de MBO Raad in deze discussie samen op met de VH en de UNL in het bestuurlijk overleg cyberveiligheid met OCW. 

Impact-analyse NIS2 

Om de gevolgen van het wel of niet aanwijzen in kaart te brengen, is halverwege dit jaar een impact-analyse uitgevoerd. Hieruit blijkt kort gezegd dat het huidige SURFaudit toetsingskader grotendeels dekkend is met de eisen vanuit de NIS2. De ‘gaps’ hebben vooral betrekking op de volgende thema’s: 

• Risicogebaseerd werken aan cyberveiligheid;  

• Daarmee samenhangend, het werken volgens een cyclisch proces van evalueren en verbeteren; 

• Bestuurlijke verantwoordelijkheid, toezicht en verantwoording op het gebied van cyberveiligheid; 

• Een meldplicht voor incidenten. 

Samen met de VH en UNL concludeert de MBO Raad dat we deze onderwerpen heel goed aanvullend kunnen adresseren. Aanwijzen onder de NIS2 betekent in de optiek van de bracheorganisaties vooral een verzwaring van de bureaucratische last en extra kosten, terwijl het geen extra bijdrage levert aan de cyberweerbaarheid. Daarom hebben we in het bestuurlijk overleg met OCW besloten om de minister te adviseren om de onderwijsinstellingen niet aan te wijzen onder de NIS2. 

Afspraken vanuit het bestuurlijk overleg cyberveiligheid 

Hoewel we dus adviseren om het onderwijs niet aan te wijzen onder de NIS2, hebben we vanzelfsprekend oog voor de aandachtspunten die uit de NIS2 naar voren komen. Daarom spreken we in het bestuurlijk overleg af dat we in SURF-verband onder andere invulling gaan geven aan de eerdergenoemde gaps, zoals de thema’s risicomanagement en de aantoonbare betrokkenheid van bestuurders en toezichthouders.  

Ook vinden we het belangrijk dat we afspraken maken over de termijn waarop we binnen het toetsingskader informatiebeveiliging volwassenheidsniveau 3 behalen; dat is het ambitieniveau dat we met elkaar hebben afgesproken. Voor de universiteiten en hogescholen komt dat neer op een herijking van bestaande afspraken. Omdat we in het mbo nog geen afspraken hebben gemaakt wanneer we dit niveau gaan behalen, gaan we dat nu op korte termijn doen. Dat past ook bij de afspraken die we in ons Convenant Cyberveiligheid hebben gemaakt. 

Waar staan we nu op het gebied van volwassenheid? 

Het is hierbij belangrijk dat we ons realiseren dat we nog een lange weg te gaan hebben om gemiddeld op niveau 3 uit te komen. Onze meest recent gescoorde volwassenheid was de benchmark IBP in maart van dit jaar. Alle mbo-instellingen hebben daaraan deelgenomen en de gemiddelde volwassenheid kwam uit op een 2,3. Deze scores zijn allemaal op basis van een zelfassessment tot stand gekomen. 

Inmiddels is Deloitte aan de slag gegaan met de externe security-audits en eind 2025 hebben alle mbo-instellingen een externe security-audit ondergaan. De verwachting is dat het gemiddelde dan met ongeveer 0,5 zal dalen. Dat is een heel gebruikelijk beeld dat we ook bij de hogescholen en universiteiten hebben gezien toen zij voor het eerst te maken kregen met externe audits. Op basis van de verwachte terugval zouden we op dit moment in het mbo dus op een gemiddelde volwassenheid van 1,8 zitten.  

Elk jaar groeien in volwassenheid 

We schatten in dat instellingen gemiddeld 0,2 tot 0,3 per jaar kunnen groeien in volwassenheid. Als je onder niveau 2 zit dan kun je flinke stappen zetten, maar het doorgroeien richting niveau 3 is echt een stuk lastiger. Zo kijken we in ieder geval aan tegen een traject van zo’n vijf jaar waarin we hard moeten doorwerken aan cyberveiligheid voordat we niveau 3,0 gemiddeld bereiken. 

Het risico van een zodanig verre deadline is dat die weinig gevoel van urgentie oproept. Daarom moeten we met elkaar nadenken hoe we het aan de ene kant behapbaar houden voor instellingen die echt moeite hebben om aan de eisen te voldoen en aan de andere kant de voorlopers kunnen blijven uitdagen om het nog beter te doen. Deze discussie voeren we op dit moment binnen de regiegroep IBP. We hopen binnenkort een bestuurlijk besluit over het tijdpad naar 3,0 te kunnen nemen. 

Wil jij ook je mening hierover delen? Stuur dan een bericht naar Martijn Bijleveld.