Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In gesprek met bestuurders over het Toetsingskader Informatiebeveiliging en de toekomstige NIS2-wetgeving.

In 2019, 2020 en 2021 waren meerdere Nederlandse onderwijsinstellingen slachtoffer van cybercriminaliteit. Dit trok de aandacht van de politiek en leidde tot verbeterprogramma’s bij onderwijsinstellingen en informatiebeveiligingsaudits door externe partijen.

Dit artikel is onderdeel van een tweeluik over cybersecurity op de bestuurstafel, waar informatiebeveiliging een relatief nieuw onderwerp is. Waar we in dit artikel ingaan op regels en normen voor informatiebeveiliging en hun impact, behandelt het andere artikel de rol van CISO’s en hun plek in de organisatie.

Verbetering van het ecosysteem

Binnen de sector hanteren we het SURFaudit Toetsingskader Informatiebeveiliging voor de audits in het wo, hbo en mbo. Het levert een aantal positieve bijdragen aan de (processen rond) informatiebeveiliging. De voordelen kennen twee categorieën: gezamenlijkheid en ontwikkeling.
Allereerst helpt de norm (het toetsingskader) bij het creëren van een gezamenlijke taal. We delen begrippen en standaarden met elkaar, wat de onderlinge gesprekken vergemakkelijkt. Daarnaast helpt het kader om gemeenschappelijk doelen te formuleren en na te streven.

Beide voordelen helpen de sector uiteindelijk om gezamenlijk te werken aan de verbetering van het ecosysteem dat het onderwijs vormt. Het helpt om de risico’s in de ketens waarin we samenwerken verder terug te dringen. David van Traa, bestuurder bij de Amsterdamse Hogeschool voor de Kunsten (AHK) zegt daarover: “Ik denk dat het voor onze branche in het algemeen goed is dat we met z’n allen afspraken hebben gemaakt om aan een bepaalde ondergrens te willen voldoen. Maar het belangrijkste is denk ik dat we hierdoor wel geforceerd worden om er bewust mee aan de slag te gaan. Dan zie je dat er stapjes gezet kunnen worden.”

Nut van een norm

Als het gaat om ontwikkeling dan stimuleert de norm twee belangrijke processen. Dat is enerzijds het lerend vermogen van zowel de individuele instelling als de sector als geheel. De norm beschrijft op de verschillende niveaus wat de aanwezige processen en verdedigingsmechanismen moeten zijn. Anderzijds zorgt de norm voor dynamiek en groei bij de instellingen. Het streven naar een hoger volwassenheidsniveau (die we uitdrukken op een schaal van 1 tot 5) en het periodiek meten van dat volwassenheidsniveau helpt om de informatieveiligheid steeds verder te verhogen.

Kortom, het delen van best practices, het besef van de individuele bijdrage van iedere instelling aan het ecosysteem en het creëren van groepsdruk verhoogt de intrinsieke motivatie om de informatieveiligheid van onze instellingen te verbeteren.

“Nu heb je een cijfer dat je volwassenheidsniveau uitdrukt en daar kun je van alles op afdingen, maar het is wel duidelijk dat het niet voldoende is,” zegt Hogeschool Utrecht (HU)-bestuurder Gerard van Assem. “Natuurlijk is er een gevaar dat het een absolute norm gaat worden voor een ministerie of de politiek, maar het is een afweging. Stel dat we zo’n cijfer niet hebben, hoe maak ik dan duidelijk aan mensen dat er echt iets moet gebeuren? Dat is echt veel moeilijker. Ik denk wel dat die cijfers evolueren, vandaag de dag is een volwassenheidsniveau van 3 niet meer hetzelfde als de 3 van een paar jaar geleden. Dat vind ik ook de kracht. Het is geen absoluut getal, maar het zegt iets over je ontwikkeling.”

Rijksuniversiteit Groningen-bestuurder (RUG) Hans Biemans bevestigt dit beeld: “Als je geen normenkader hebt op basis waarvan je kunt weten waar je staat, ben je stuurloos. Dan weet je wel wat je aan het doen bent, maar niet of je vooruit of achteruit gaat. Ik zie het als een instrument in een kwaliteitscultuur.”

Het optisch bedrog van normen

Sinds de grote incidenten bij onder meer Universiteit Maastricht, Universiteit Leiden, Universiteit van Amsterdam en Hogeschool van Amsterdam, het Mondriaan College en de HAN in 2020 en 2021 wisten het mbo, hbo en wo nieuwe grote cyberincidenten te voorkomen. De Nederlandse onderwijssector presteert relatief goed ten opzichte van bijvoorbeeld Duitsland. Daar hadden in 2023 en 2024 diverse universiteiten en hogescholen (waaronder de Hochschule für öffentliches Management und Sicherheit) te maken met grote incidenten die in meerdere situaties leidden tot verminderde beschikbaarheid van ict-systemen of zelfs onderbreking van het primaire proces.

Ondanks de sterke vermindering van het aantal grote cyberincidenten in het Nederlandse hoger onderwijs overweegt het ministerie van Onderwijs Cultuur en Wetenschap om de instellingen te verplichten om te voldoen aan de Europese Network and Information Security-richtlijn (NIS-2 richtlijn).

De Nederlandse versie daarvan wordt de Cyberbeveiligingswet die is bedoeld om de cyberweerbaarheid van de vitale infrastructuur te verbeteren.

Valkuilen en ambities

‘Voldoen aan de NIS-2 richtlijn’ betekent dat instellingen voor bepaalde normen uit het huidige toetsingskader het volwassenheidsniveau van een 3 of 4 moeten behalen en bepaalde incidenten moeten melden bij een sectoraal CSIRT. De grootste valkuil van dit soort wetgeving is compliancy-denken: het voldoen aan de norm omdat de norm er is. De externe toezichthouder verdringt dan de intrinsieke motivatie die we in de huidige situatie nog wel zien.

Kees Rutten, RvT-lid van Hogeschool Utrecht (HU), is daar duidelijk over: “Als het gaat om het halen van de norm, het volwassenheidsniveau 3 op het SURFaudit Toetsingskader Informatiebeveiliging, dan denk ik altijd aan de bankensector rond 2007/2008. Die voldeden allemaal aan de normen, maar waren zo rot als een mispel. Een norm is immers slechts één van de instrumenten om iets te meten. Er is meer nodig. Wanneer de meters van mijn auto geen signalen afgeven, wil dat namelijk niet zeggen dat er ondertussen geen rook uit de motorkap kan komen.”

Patrick Groothuis, bestuurder bij Eindhoven University of Technology (TU/e) voegt toe: “Het risico is dat je blijft doorgroeien in regels. Vanuit een soort behoefte om te komen tot een optische beheersing van de risico's. En dan raak je misschien de bedoeling kwijt, waardoor je wel voldoet aan de NIS-2 richtlijn, maar uiteindelijk toch niet veiliger bent geworden.”

Balans tussen vrijheid en veiligheid

In het verlengde van het groeiende controlemechanisme wijst Universiteit Utrecht (UU)-bestuurder Margot van der Starre op de financiële kant: “NIS-2 gaat duidelijk een aantal stappen verder. Zodra het van toepassing wordt op universiteiten (wanneer dat is, is op dit moment nog niet duidelijk), heeft dat extra maatregelen tot gevolg. Daardoor zal de uitvoering van informatiebeveiliging bij de UU, en in de hele sector, veel duurder uitvallen dan nu het geval is. Net als bij alle andere veiligheidsdomeinen is het bij informatiebeveiliging altijd zoeken naar de juiste balans tussen vrijheid en veiligheid. Een universiteit is geen bank, maar kan ook niet totaal open zijn. Een risicogebaseerde aanpak ligt hier voor de hand.”

Met name deze opmerking is een van de pijlers van het informatiebeveiligingsbeleid van de onderwijsinstellingen. Met dat in het achterhoofd, lijkt het erop dat zowel de norm als [MOU4] de intrinsieke ambitie van de instellingen voldoende is. Het is dus de vraag of wetgeving zoals NIS2 in de categorie ‘wat draagt bij’ of de categorie ‘wat leidt af’ gaat vallen. Zeker als we weten dat onder NIS1 het aantal meldingen in 2022 en 2023 precies nul bedroeg.

Tekst: John Strijker, CISO Hogeschool Utrecht

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...