De Cyberbeveiligingswet en SURFcert 

De minister is van plan om SURFcert onder de Cyberbeveiligingswet aan te wijzen als Computer Security Incident Response Team (CSIRT) voor de sector onderwijs en onderzoek. Verandert daarmee wat SURFcert voor je instelling doet? Maakt het uit als je instelling wel, of juist niet onder de wet valt? Wat is de meldplicht? Dit artikel beantwoordt deze vragen. 

Cyberbeveiligingswet en meldplicht

De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de Europese NIS2-richtlijn. De minister van OCW heeft in april 2025 aangekondigd het hbo en wo onder de wet te willen laten vallen. Het wetsvoorstel schrijft onder andere een meldplicht voor: instellingen die onder deze wet vallen moeten significante incidenten melden bij het sectorale CSIRT (Computer Security Incident Response Team), en bij een toezichthouder. Voor onderwijs en onderzoek betekent dit dat zij die moeten gaan melden bij SURFcert. 

Wat gaat er veranderen? 

SURFcert helpt instellingen al ruim 30 jaar bij beveiligingsincidenten. Denk aan het signaleren van aanvallen, het bieden van ondersteuning bij de afhandeling van incidenten en het delen van dreigingsinformatie. Dat blijft zo, ook onder de Cyberbeveiligingswet.  

Ondanks dat de dienstverlening van SURFcert in de kern niet verandert, vraagt de beoogde aanwijzing als sectoraal CSIRT onder de Cbw om een aantal aanpassingen: 

• Verdieping en professionalisering van de organisatie
  De wet vraagt om verdere uitwerking van processen, rapportages en samenwerking. Dat betekent meer structuur en een nog hogere mate van professionaliteit van de SURFcert-organisatie, met meer capaciteit om dreigingen beter op te sporen.
• Verwerking van meldingen
  Instellingen die onder de wet vallen zijn verplicht significante incidenten te melden. SURFcert ontvangt die meldingen en zorgt voor opvolging – om de instelling te helpen en andere instellingen te beschermen. Er komt ook meer capaciteit om een instelling bijstand te verlenen bij een incident. Maar SURFcert gebruikt de meldingen ook om een overkoepelend sectoraal beeld te krijgen van wat er speelt. 
• Nationale samenwerking
  Als sectoraal CSIRT maken we formeel onderdeel uit van het Nederlandse CSIRT-stelsel. Daarmee werken we nauwer samen met andere sectorale teams (zoals in de zorg of bij de Rijksoverheid) en met het Nationaal Cyber Security Centrum (NCSC). 

Maakt het uit of jouw instelling onder de Cyberveiligingswet valt?

Een logische vraag is of er verschil gaat ontstaan tussen instellingen die wel of niet onder de Cyberbeveiligingswet vallen. Ons uitgangspunt is dat alle SURF-instellingen op een vergelijkbare manier gebruik kunnen blijven maken van SURFcert:  

• Gelijke dienstverlening
  Of jouw instelling door OCW is aangewezen, vanwege een andere reden onder de wet valt (zoals geldt voor zorginstellingen) of helemaal geen Cbw-instelling is (zoals bijvoorbeeld het mbo): onze ondersteuning blijft in de basis gelijk.
• Beleid vanuit OCW
  Het ministerie van OCW heeft nadrukkelijk aangegeven dit belangrijk te vinden en ondersteunt een gelijk speelveld. Samen met OCW organiseren we de inrichting zo dat we de sector bij elkaar houden.
• Samenwerking met andere CSIRTs
  Sommige instellingen hebben naast SURFcert ook te maken met een ander Cbw-CSIRT, bijvoorbeeld in de zorg of de Rijksoverheid. In die gevallen maken we duidelijke afspraken met deze partijen, om overlap te voorkomen en samenwerking te versterken. 

De dienstverlening van SURFcert blijft dus grotendeels hetzelfde, de verandering zit vooral in de wettelijke verplichtingen van instellingen die wél onder de Cyberbeveiligingswet vallen. Zoals bijvoorbeeld de meldplicht. 

Wat houdt de meldplicht in? 

Een van de kernonderdelen van de wet is de meldplicht: instellingen die onder de wet vallen, moeten significante incidenten binnen een bepaalde termijn melden. Dat kan bijvoorbeeld gaan om een ransomware-aanval die de continuïteit van onderwijs of onderzoek raakt.

• Meldtermijn
  De wet schrijft voor dat incidenten binnen een vastgesteld aantal uren gemeld moeten worden. Je securityorganisatie moet er dus op ingericht zijn om op het juiste moment de eerste, en een vervolgmelding te doen. 
• Drempelwaardes
  Niet elk incident hoeft gemeld te worden. Er komt een definitie van wat een 'significant incident' is met de criteria. 
• Vrijwillig melden
  Ook als jouw instelling niet verplicht is om te melden, of als een incident niet aan de drempel voldoet, mag je altijd vrijwillig melden bij SURFcert, via dezelfde route. Deze meldingen helpen om een sectorbreed inzicht te krijgen. 
• Rol SURFcert 
  Wij ontvangen de meldingen, beoordelen de impact, verlenen bijstand, onderzoeken of er gevolgen zijn voor andere instellingen, en aggregeren de informatie. Zo dragen we bij aan sectorbrede weerbaarheid. 
• Toezicht
  Elke verplichte melding gaat automatisch ook naar de toezichthouder. De toezichthouder ziet toe op naleving van de meld- en andere plichten en kan sancties opleggen bij nalatigheid. De overheid gaat deze toezichthouder nog aanwijzen; SURFcert is in gesprek met de beoogde toezichthouder om elkaars rol bij incidenten goed af te stemmen. 

Wat betekent de Cbw voor de samenwerking van jouw instelling met SURFcert?

Voor de meeste instellingen verandert er op korte termijn niet veel in de dagelijkse samenwerking met SURFcert. Wel is het belangrijk dat je organisatie zich voorbereidt op de nieuwe verplichtingen:

• Breng in kaart of jouw instelling onder de Cyberbeveiligingswet valt of kan vallen. Voor hbo’s en universiteiten is dit een besluit van de minister, maar andere sectoren moeten zelf concluderen of ze onderhevig zijn aan de wet. 
• Zorg dat interne processen en procedures aansluiten op de meldplicht. 
• Stem af wie binnen jouw organisatie verantwoordelijk is voor het melden van incidenten. 
• Maak gebruik van de expertise en ondersteuning van SURFcert – ook als je niet formeel onder de wet valt.