Ook hoger onderwijs zal onder Cyberbeveiligingswet vallen

Politiek en bedrijfsleven zijn momenteel druk bezig om zich voor te bereiden op de invoer van de Cyberbeveiligingswet (Cbw), de wet die de Europese NIS2-richtlijn in Nederland in de praktijk moet brengen. Minister Eppo Bruins (Onderwijs, Cultuur en Wetenschap) wil nu dat het hoger onderwijs in Nederland ook gaat voldoen aan de in de Cbw vastgelegde regels. Dat maakte hij bekend via een kamerbrief.

Header nieuwsartikel Cyberbeveiligingswet hoger onderwijs

Ook onderwijsinstellingen zijn in Nederland niet veilig voor cyberaanvallen. Verschillende universiteiten hebben de afgelopen jaren te maken gehad met ransomware en andere vormen van cybercriminaliteit. Dit komt deels door de nauwe banden tussen hoger onderwijs en bedrijfsleven, bijvoorbeeld op de Technische Universiteiten. Dit maakt de onderwijsinstellingen niet alleen aantrekkelijke doelwitten voor traditionele cybercriminelen, maar ook bedrijfsspionage en kwaadwillende statelijke actoren.

De Cbw, zoals vastgelegd in de NIS2-richtlijn, definieert de verantwoordelijkheden die een organisatie heeft op het gebied van cyberveiligheid. Organisaties die onder de Cbw vallen krijgen te maken met zorg-, registratie- en meldingsplicht. De verantwoordelijkheden op het gebied van cyberveiligheid worden vastgelegd, ze moeten zich registeren als een organisatie die onder de Cbw valt en worden verplicht serieuze cyberincidenten te melden.

Dit alles overwegende - de impact van de Cbw maar ook het belang van een brede en duurzame beheersing van cyberrisico’s gezien de toenemende digitale dreiging - heb ik, na overleg met de minister van Justitie en Veiligheid, besloten om de bekostigde hbo- en wo-instellingen onder de Cbw te brengen.

Minister Bruins (Onderwijs, Cultuur en Wetenschap)

De onderwijsinstellingen krijgen van de minister wel extra tijd om aan alle verplichtingen te voldoen. De registratie- en meldingsplicht zullen voor het hoger onderwijs bij het in werking treden van de Cbw ingaan. Ze zullen echter pas later aan de zorgplicht moeten voldoen, om instellingen voldoende tijd te geven om orde op zaken te stellen op het gebied van de tien zorgplichtmaatregelen die in de wet worden vastgelegd.

Ook krijgen de onderwijsinstellingen vanaf het ingaan van de wet bijstand van de Computer Security Response Teams (CSIRT). Deze teams, vastgelegd in artikel 17 van de Cbw, zullen voor verschillende sectoren een ondersteunende rol krijgen bij de uitvoering van de wet. Het CSIRT is onder andere verantwoordelijk voor het monitoren van dreigingen en het verstrekken van waarschuwingen. Deze CSIRT's zullen ook internationaal samenwerken met andere CSIRT's in EU-lidstaten.