Organisatie

Meldplicht onder de Cbw

Naast de zorgplicht kent de Cyberbeveiligingswet (Cbw) ook een meldplicht. Deze verplichting houdt in dat onderwijs- en onderzoeksinstellingen die onder de Cbw vallen ernstige incidenten die gevolgen hebben voor hun dienstverlening tijdig moeten melden. De meldplicht is bedoeld om de impact van cyberincidenten te beperken en ervoor te zorgen dat relevante partijen snel kunnen reageren.

Wat is de meldplicht?

De meldplicht verplicht instellingen om incidenten met aanzienlijke gevolgen voor de continuïteit, integriteit of vertrouwelijkheid van hun dienstverlening te rapporteren bij hun CSIRT (SURFcert) en bij de toezichthouder. Denk bijvoorbeeld aan een ransomware-aanval die leidt tot langdurige uitval van systemen, of een datalek dat de beschikbaarheid van digitale leer- of onderzoeksomgevingen bedreigt.

Door meldingen te ontvangen, kan het CSIRT direct hulp verlenen, dreigingen beter in kaart brengen en andere organisaties tijdig waarschuwen. Dit versterkt de gezamenlijke digitale weerbaarheid en maakt het mogelijk om sneller te reageren op incidenten. De toezichthouder gebruikt de meldingen voor het uitvoeren van toezicht op de wet. Voor instellingen in onderwijs en onderzoek betekent dit dat ook incidenten die de continuïteit van het onderwijsproces of de voortgang van onderzoek ernstig verstoren onder de meldplicht kunnen vallen.

Welke incidenten moeten worden gemeld?

De overheid werkt nog aan de exacte definitie van incidenten die instellingen moeten melden. Nadere regelgeving en richtlijnen geven hier straks duidelijkheid over. In algemene zin gaat het om incidenten die:

  • een significante verstoring veroorzaken van essentiële of belangrijke diensten in onderwijs en onderzoek,
  • leiden tot verlies van vertrouwelijkheid of integriteit van gevoelige gegevens, zoals onderzoeksdata of persoonsgegevens van studenten,
  • of een ernstige maatschappelijke of financiële impact hebben, bijvoorbeeld doordat onderwijs of onderzoek tijdelijk stilvalt.

De meldplicht geldt alleen voor ernstige incidenten. Kleine verstoringen of beveiligingsfouten vallen meestal buiten de verplichting om te melden.

Termijnen en procedures

De Cbw schrijft voor dat meldingen tijdig moeten worden gedaan.

De initiële melding moet binnen 24 uur gedaan worden (ook in het weekend!). Na 72 uur doe je een vervolgmelding met aanvullende informatie en binnen een maand moet het eindverslag opgeleverd worden.

Instellingen doen er goed aan om interne processen in te richten waarmee incidenten snel worden opgespoord, beoordeeld en gemeld. Dit vraagt om duidelijke afspraken binnen incidentmanagement en heldere verantwoordelijkheden.

Melden gaat via een nationaal meldportaal. Een melding via dit portaal zorgt ervoor dat één melding zowel naar het CSIRT gaat (SURFcert voor het hoger onderwijs) en de toezichthouder (IvhO voor het hoger onderwijs).

Toezicht en naleving

De meldplicht wordt gehandhaafd door de aangewezen toezichthouder. Deze kan controleren of meldingen correct en tijdig zijn gedaan en of de instelling beschikt over een adequaat incidentresponsproces. Het niet nakomen van de meldplicht kan leiden tot sancties of aanwijzingen.

Daarom is het belangrijk dat onderwijs- en onderzoeksinstellingen procedures hebben voor registratie van incidenten, interne evaluatie en het aantonen van verbeteracties. Ook samenwerking met sectorale Computer Security Incident Response Teams (CSIRTs), zoals SURFcert, kan hierbij van grote waarde zijn.

Vrijwillige meldingen en informatiedelen

Als een incident onder de drempelwaarden blijft, hoeft het niet verplicht gemeld te worden. Het kan echter wel – een zogeheten vrijwillige melding. Deze gaat alléén naar het CSIRT en niet naar de toezichthouder. Sowieso blijft het in ieders belang om zoveel mogelijk te delen over incidenten die spelen in de sector, bijvoorbeeld via SCIRT, en dat iets niet onder de wettelijke meldplicht valt is geen reden om het niet te delen met SURFcert en andere instellingen.

Voorbereiding voor onderwijs- en onderzoeksinstellingen

Hoewel de details van de meldplicht nog niet volledig zijn uitgewerkt voor onderwijs en onderzoek, kunnen instellingen zich nu al voorbereiden door:

  • Incidentmanagementprocessen te actualiseren: zorg dat processen aansluiten op de meldplicht.
  • Detectie en monitoring te versterken: investeer in logging en monitoring om incidenten tijdig te ontdekken.
  • Communicatieafspraken vast te leggen: bepaal wie verantwoordelijk is voor melding en externe communicatie.
  • Samen te werken met SURFcert, SCIRT en sectorale gremia: maak afspraken over het delen van informatie en het coördineren van meldingen.
  • Oefeningen te organiseren: test de procedures met simulaties van incidenten om verbeterpunten op te sporen.

Sectorale samenwerking

Binnen de sector onderwijs en onderzoek kan samenwerking bijdragen aan een betere voorbereiding. Door gezamenlijk afspraken te maken over classificatie van incidenten, meldprocedures en contactpunten ontstaat een sectoraal dreigingsbeeld.

Wil je direct aan de slag?

Download dan onze handreiking.


De 10 zorgplichtmaatregelen
uit de Cyberbeveiligingswet

Gerelateerde artikelen

Cyberbeveiligingswet FAQ  

Heb je vragen over de Cyberbeveiligingswet? In deze FAQ vind je snel antwoorden over de zorg-, meld- en registratieplicht voor onderwijs- en onderzoeksinstellingen, inclusief hulpmiddelen en tips om aan de...

Organisatie

Zorgplicht onder de Cbw

De Cyberbeveiligingswet legt onderwijs- en onderzoeksinstellingen een zorgplicht op: passende maatregelen om digitale risico’s te beheersen. Lees wat dit betekent en hoe je je voorbereidt.

Organisatie