Organisatie

Zorgplicht onder de Cbw

De Cyberbeveiligingswet (Cbw) introduceert verschillende verplichtingen voor organisaties die een rol spelen in essentiële of belangrijke sectoren. Voor onderwijs- en onderzoeksinstellingen die onder de Cbw vallen, is een van de kernverplichtingen de zorgplicht. Deze verplichting houdt in dat instellingen passende maatregelen moeten nemen om hun digitale weerbaarheid op orde te brengen en te houden. De overheid werkt nog aan de concrete uitwerking voor de sector onderwijs en onderzoek, maar de zorgplicht biedt nu al een belangrijke basis om de digitale veiligheid te versterken.

Wat houdt de zorgplicht in?

De zorgplicht betekent dat instellingen hun informatiebeveiliging aantoonbaar op orde moeten hebben. Het gaat hierbij zowel om technische als organisatorische maatregelen. Voorbeelden van technische maatregelen zijn het toepassen van actuele beveiligingsupdates, het gebruik van sterke toegangsbeveiliging en het segmenteren van netwerken. Organisatorische maatregelen kunnen gaan over heldere verantwoordelijkheden binnen de instelling, training en bewustwording van medewerkers en studenten, en het borgen van processen rondom risicobeheer.

De Cbw schrijft niet exact voor welke specifieke maatregelen verplicht zijn. Instellingen krijgen de ruimte om zelf te bepalen welke maatregelen passend zijn, afhankelijk van hun omvang, risico’s en aard van de dienstverlening. Wel geldt dat de maatregelen proportioneel en aantoonbaar effectief moeten zijn. Toezichthouders zullen hier bij controles en evaluaties op letten.

Het belang van risicobeoordeling

Een belangrijk element van de zorgplicht is het uitvoeren van risicobeoordelingen. Instellingen moeten inzicht hebben in hun processen, systemen en afhankelijkheden, en begrijpen welke bedreigingen daarop van invloed kunnen zijn. Met actuele analyses kiest en implementeert een instelling gerichte maatregelen. Laat een instelling dit na, dan bestaat de kans dat zij niet voldoet aan de zorgplicht.

Daarnaast kan de sectorale context bepalend zijn. Voor onderwijs en onderzoek is de specifieke uitwerking nog in ontwikkeling. Dit betekent dat instellingen voorlopig vooral moeten aansluiten bij bestaande kaders en sectorale afspraken, zoals het SURFaudit Toetsingskader, om hun risicobeoordelingen en beveiligingsmaatregelen vorm te geven.

Toezicht en naleving

De zorgplicht wordt gehandhaafd door de aangewezen toezichthouder (beoogd toezichthouder voor HO is de Inspectie van het Onderwijs). Die beoordeelt of instellingen voldoende maatregelen hebben getroffen en of deze passen bij de risico’s en de omvang van de dienstverlening. Naleving kan onder andere worden aangetoond door het uitvoeren van interne audits, deelname aan SURFaudit, of het rapporteren van verbeterplannen.

Het is belangrijk dat instellingen hun maatregelen documenteren en kunnen laten zien dat er een systematische aanpak is gekozen. Ook moet duidelijk zijn hoe regelmatig maatregelen worden geëvalueerd en verbeterd.

Specifiek voor het hoger onderwijs (hogescholen en universiteiten) is, gezien de late aanwijzing door de minister, een uitzondering in de wet opgenomen. Het toezicht op de zorgplicht gaat pas drie jaar na de ingangsdatum van de Cyberbeveiligingswet in. Deze uitzondering geldt niet voor andere instellingen die onder de wet vallen, zoals zorginstellingen, onderzoeksinstituten e.d. Voor hen wordt de zorgplicht direct bij ingang wet van kracht.

Voorbereiding voor onderwijs- en onderzoeksinstellingen

Hoewel de uitwerking voor de sector onderwijs en onderzoek nog niet volledig duidelijk is, kunnen instellingen zich nu al voorbereiden door de volgende stappen te zetten:

  • Risico’s in kaart brengen: start met een analyse van processen, afhankelijkheden en mogelijke dreigingen.
  • Beleid actualiseren: zorg dat beveiligingsbeleid aansluit bij de nieuwe wettelijke verplichtingen.
  • Verantwoordelijkheden vastleggen: stel duidelijke rollen en aanspreekpunten vast voor informatiebeveiliging.
  • Bewustwording vergroten: train medewerkers en studenten op hun rol in het waarborgen van digitale veiligheid.
  • Maatregelen aantoonbaar maken: documenteer welke maatregelen zijn genomen en hoe deze worden geëvalueerd.

Samenwerken binnen de sector

Voor onderwijs- en onderzoeksinstellingen zal samenwerking van groot belang zijn. Door kennis en ervaringen te delen kunnen instellingen sneller tot een gezamenlijke invulling van de zorgplicht komen. Denk aan gezamenlijke richtlijnen, sectorale handreikingen of het gebruik van bestaande raamwerken en standaarden.

Direct aan de slag?

Lees dan de deze handreiking.

Handreiking
10 zorgplichtmaatregelen

Gerelateerde artikelen

Cyberbeveiligingswet FAQ  

Heb je vragen over de Cyberbeveiligingswet? In deze FAQ vind je snel antwoorden over de zorg-, meld- en registratieplicht voor onderwijs- en onderzoeksinstellingen, inclusief hulpmiddelen en tips om aan de...

Organisatie

Meldplicht onder de Cbw

De Cyberbeveiligingswet verplicht onderwijs- en onderzoeksinstellingen tot het melden van ernstige cyberincidenten. Lees hoe de meldplicht werkt en hoe je je voorbereidt.

Organisatie