Cyberbeveiligingswet
Organisatie

De 10 zorgplichtmaatregelen uit de Cyberbeveiligingswet

De Europese Network and Information Security (NIS2)-richtlijn wordt omgezet naar nationale wetgeving: de Cyberbeveiligingswet (Cbw). Voor onderwijs en onderzoek geldt dat het hbo en wo aan deze wet moeten gaan voldoen. Deze wet bevat een set van tien zorgplichtmaatregelen. In dit artikel lees je welke dat zijn en welke hulpmiddelen voor onderwijs en onderzoek nu al beschikbaar zijn.

Afspraken implementatie Cyberbeveiligingswet

De verwachting is dat de wet begin 2026 in werking treedt en dat instellingen in onze sector 3 jaar de tijd hebben om te voldoen aan de zorgplicht. Op dit moment vinden gesprekken plaats tussen de brancheorganisaties, SURF en OCW om afspraken te maken over de implementatie van deze wet. Ook het mbo is betrokken omdat het belangrijk is om samen te blijven optrekken.

Kennisproducten Nationaal Cyber Security Centrum

Het Nationaal Cyber Security Centrum (NCSC) heeft een overzicht gemaakt van hun kennisproducten voor die tien maatregelen. Meer hierover lees je op de site van het NCSC: overzicht kennisproducten.

De 10 zorgplichtmaatregelen uit de Cyberbeveiligingswet

Specifiek voor onze sector biedt SURF, via het Security Expertise Centrum, verschillende voorbeelden en hulpmiddelen aan die je kunnen helpen om deze maatregelen ook te nemen. Deze vind je onder de maatregelen:

1. Voer een risicoanalyse uit

Een risicoanalyse helpt je organisatie inzicht te krijgen in kwetsbaarheden en prioriteiten. SURF biedt een toolkit risicobeoordeling inclusief risicoregisters, risicomatrices en trainingen.
Toolkit risicobeoordeling
Templates en handreikingen risicobeheer

2. Regel beveiliging van personeel, toegang en assets

Duidelijk toegangsbeheer, registratie van hardware/software en aandacht voor personeel zijn essentieel. Gebruik de beleidspiramide en templates voor HR- en toegangsbeheer via SURF.
Templates personeelsbeheer
Templates Identiteit- en toegangsbeheer

3. Stel een bedrijfscontinuïteitsplan (BCP) op

Een BCP zorgt ervoor dat je organisatie kan blijven functioneren tijdens storingen. SURF biedt een stappenplan bedrijfscontinuïteit, templates voor o.a. BIA en scenario-oefeningen.
Templates en handreikingen bedrijfscontinuïteitsbeheer
Lees hier meer over samenwerken aan weerbaarheid

4. Richt incident response in

Een Incident Response Plan (IRP) zorgt voor gestructureerde actie bij incidenten. SURFcert, SCIRT en TRANSITS-trainingen ondersteunen bij implementatie.
Bekijk alle trainingen op SURF.nl
Lees hier meer over SURFcert

5. Verbeter cyberhygiëne

Sterke wachtwoorden, updates en bewust gedrag zijn cruciaal. Maak gebruik van de Cybersave Yourself toolkit en awarenessprogramma's zoals 'Voorbij de e-learning'.
Templates en handreikingen beveiligingsbeheer
Lees hier meer over bewustzijn en gedrag

6. Beveilig netwerk- en informatiesystemen

Gebruik beleidstemplates en handreikingen om je technische infrastructuur te beschermen tegen aanvallen.
Templates en handreikingen beveiligingsbeheer
Lees hier meer over technische weerbaarheid

7. Beveilig je toeleveringsketen

SURF ondersteunt met handreikingen en via de SURF Vendor Compliance-dienst voor risicoanalyses bij leveranciers.
Templates en handreikingen ketenbeheer
Lees meer over Vendor Compliance op SURF.nl

8. Stel beleid op voor cryptografie en encryptie

SURF biedt een standaard voor cryptografie, inclusief beheer van sleutels en certificaten.
Templates en handreikingen cryptografie

9. Gebruik MFA en veilige authenticatie

Beveilig toegang met de Standaard Identiteit en Toegangsbeheer, inclusief de richtlijn MFA.
Templates Identiteit- en toegangsbeheer

10. Evalueer je maatregelen regelmatig

Met het SURFaudit-toetsingskader Informatiebeveiliging breng je in kaart hoe ver je bent met de implementatie van beveiligingsmaatregelen en waar nog actie nodig is. Onze hulpmiddelen voor Testen en oefenen geven inzicht in zwakke plekken in de verdediging en of iedereen weet wat ze moeten doen in het geval van een incident of crisis.

Wees voorbereid

Of je instelling straks onder de Cyberbeveiligingswet valt of niet: deze maatregelen zijn relevant en waardevol. Ze helpen je om voorbereid te zijn op cyberincidenten, de continuïteit van je processen te waarborgen en aan te sluiten bij sectorbrede afspraken.

Zie ook

Wat betekent de NIS2-richtlijn voor jouw instelling? – SEC
De NIS2 bekeken vanuit publieke waarden – SEC

Gerelateerde artikelen

Hoe geef je risicomanagement vorm binnen je instelling?

Veel risico-functionarissen lopen tegen dezelfde vraag aan: hoe pakken anderen dit aan? Het antwoord blijkt zelden eenduidig. Elke instelling geeft op een eigen manier invulling aan risicomanagement, maar er zijn...

Risicomanagement

Risicomanagement