Cyberbeveiligingswet FAQ  

Heb je vragen over de Cyberbeveiligingswet en de bijbehorende zorg-, meld- en registratieplicht? In deze Cbw-FAQ vind je antwoorden op veelgestelde vragen van onderwijs- en onderzoeksinstellingen. Zo krijg je snel inzicht in de verplichtingen en hulpmiddelen om aan de wet te voldoen.

De vragen en antwoorden zijn ingedeeld in een viertal onderwerpen. Klik hieronder om direct naar het juiste onderdeel te gaan:

Vragen over de Cyberbeveiligingswet

Welke instellingen vallen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet is niet van toepassing op alle organisaties, maar alleen op organisaties in bepaalde sectoren en/of omvang. Van sommige sectoren is in de wet bepaald dat ze er per definitie onder vallen, zoals zorg, of zelfstandige bestuursorganen.

Voor het hoger onderwijs ligt de beslissing tot aanwijzing bij de minister van OCW. Die heeft aangegeven dat alle bekostigd hoger onderwijs (hogescholen en universiteiten) ook onder de wet te willen laten vallen.

Het mbo valt niet onder de wet.

Waarom verschilt de aanwijzing van instellingen in het hoger onderwijs van andere sectoren?

In andere sectoren bepaalt de wet zelf welke organisaties onder de Cbw vallen. Voor het hoger onderwijs wijst de minister van OCW concreet aan welke instellingen onder de wet vallen, ongeacht omvang of type organisatie.

Wanneer gaat de Cyberbeveiligingswet in?

De wet treedt naar verwachting in Q2 2026 in werking.
Vanaf die datum gelden de registratie- en meldplicht direct.

Alleen voor hoger onderwijsinstellingen wordt de zorgplicht volgens het wetsvoorstel drie jaar later van kracht, in 2029. Voor alle andere sectoren gaat die ook direct bij ingang wet in.

Welke verplichtingen van de Cbw zijn direct van kracht?

Bij de ingangsdatum in 2026 zijn de registratie- en meldplicht direct van kracht voor het hoger onderwijs.
De zorgplicht gaat pas in 2029 van kracht voor deze sector.

Wie houdt toezicht op de naleving van de Cbw in het hoger onderwijs?

De minister van OCW is verantwoordelijk voor het aanwijzen van de toezichthouder. Voor het hoger onderwijs wordt de Inspectie van het Onderwijs naar verwachting aangewezen als toezichthouder.
SURFcert ondersteunt als wettelijk CSIRT, maar heeft geen toezichthoudende rol.

Welke rol heeft het NCSC bij de Cbw?

Het Nationaal Cyber Security Centrum heeft een dubbelrol met betrekking tot de Cbw.

Het centrum voert de nationale taken uit, zoals coördinatie tussen de verschillende sectorale CSIRTs en het aanbieden van het nationale registratie- en meldportaal. Het NCSC is in deze rol gesprekspartner van SURFcert.
 
Daarnaast is het NCSC ook het sectorale CSIRT voor de rijksoverheid en vitale sector. Veel communicatie van het NCSC is ingestoken vanuit deze rol.

Onderwijsinstellingen kunnen primair terecht bij SURFcert als sectoraal CSIRT en hoeven gewoonlijk niet direct in contact te treden met het NCSC. Idem kunnen zorginstellingen primair terecht bij Z-CERT.

Welke rollen vervult SURF binnen de Cbw?

Met betrekking tot de Cyberbeveiligingswet is het goed te onderscheiden welke verschillende rollen SURF heeft in verhouding tot de wet:

Als samenwerkingsorganisatie helpt SURF instellingen met wat zij nodig hebben om te kunnen voldoen aan de wet. Bijvoorbeeld middels ons toetsingskader, handreikingen op het Security Expertisecentrum, of het organiseren van een training voor bestuurders. Hoe SURF de instellingen hierbij kan ondersteunen wordt besproken in de Regiegroep Cyberveiligheid.

SURFcert als beoogd wettelijk CSIRT voor het hoger onderwijs. Het kader hiervoor is de wettelijke taak en het ministerie van OCW de formele opdrachtgever. Als sectoraal CSIRT onderhoudt SURFcert ook de contacten met andere sectorale CSIRTs en de landelijke functie van het NCSC.

SURF als it-dienstverlener aan de instellingen. Als digitale dienstverlener valt de SURF-organisatie zelf ook onder de reikwijdte van de wet en bereidt zich daarop voor.

Hoe werkt de samenwerking tussen SURFcert en andere CSIRTs?

SURFcert onderhoudt contacten met andere sectorale CSIRTs en het NCSC.
Dit ondersteunt coördinatie, kennisdeling en respons bij sectoroverschrijdende incidenten.

Vragen over de zorgplicht

Wat houdt de zorgplicht in voor hoger onderwijsinstellingen?

De zorgplicht verplicht instellingen om passende maatregelen te nemen om hun digitale weerbaarheid te versterken.

Voor hoger onderwijs geldt dat deze plicht vanaf 2029 van kracht wordt, zodat instellingen voldoende voorbereidingstijd hebben.

Waarom start de zorgplicht later voor het hoger onderwijs?

Omdat de voorgenomen aanwijzing van het hoger onderwijs pas in april 2025 bekend werd, krijgt de sector extra tijd.

De zorgplicht gaat daarom drie jaar na ingang van de wet in, in 2029.

Welke voorbereidingen kunnen instellingen nu al treffen voor de zorgplicht?

Instellingen kunnen hun risicoanalyse up-to-date houden, beveiligingsmaatregelen evalueren, incidentresponseprocessen oefenen en gebruikmaken van handreikingen, templates en trainingen van SURF om voorbereid te zijn op de zorgplicht.

Hoe ondersteunt SURF bestuurders bij de zorgplicht?

SURF organiseert trainingen en geeft handreikingen die bestuurders helpen om inzicht te krijgen in verantwoordelijkheden, prioriteiten te stellen en de juiste maatregelen te implementeren.

Vragen over de meldplicht

Wanneer moeten instellingen een incident melden?

Vanaf de ingangsdatum van de wet in 2026 moeten onderwijsinstellingen ernstige incidenten direct melden via het landelijke portaal Mijn NCSC.
Kleine verstoringen vallen meestal niet onder de meldplicht.

Wat is een ‘significante’ melding?

Een significante melding betreft een incident met grote impact op processen, gegevens of de dienstverlening.
Landelijke kaders bepalen de drempelwaarden; de sector onderwijs werkt deze kaders samen met OCW, VH en UNL nader uit.

Hoe verloopt de meldplicht praktisch via Mijn NCSC?

Onderwijsinstellingen melden incidenten in het portaal Mijn NCSC.
Van daaruit worden meldingen automatisch doorgezet naar SURFcert en de Inspectie van het Onderwijs.
Zo ontstaat een centraal en uniform proces.

Wat is de rol van SURFcert bij de meldplicht?

SURFcert ontvangt meldingen van onderwijsinstellingen, coördineert de informatie-uitwisseling met andere sectorale CSIRTs en adviseert instellingen over opvolging en mitigatie van incidenten.

Moet een onderwijsinstelling ook direct contact opnemen met het NCSC bij een incident?

In de meeste gevallen niet.
Onderwijsinstellingen melden primair via SURFcert; direct contact met het NCSC is meestal niet nodig.

Vragen over de registratieplicht

Waar moeten onderwijsinstellingen zich registreren?

Instellingen gebruiken het centrale portaal Mijn NCSC voor registratie.
Dit zorgt dat gegevens automatisch beschikbaar zijn voor SURFcert en de toezichthouder.

Waarom is registratie verplicht?

Registratie geeft inzicht in welke instellingen onder de wet vallen en helpt bij toezicht en coördinatie van incidenten.

Wat gebeurt er met de gegevens die worden geregistreerd in Mijn NCSC?

De geregistreerde gegevens worden gebruikt om toezicht en coördinatie mogelijk te maken.

SURFcert en de Inspectie van het Onderwijs hebben toegang om meldingen en registraties te verwerken en analyses uit te voeren.

Valt SURF zelf ook onder de Cbw?

Ja, als digitale dienstverlener valt de SURF-organisatie onder de reikwijdte van de wet.
SURF bereidt zich intern voor om te voldoen aan de verplichtingen van de Cbw.

Hoe sluit de registratieplicht aan bij de meldplicht?

De registratieplicht zorgt dat de lijst van instellingen bekend is en dat meldingen correct kunnen worden toegewezen.

Zo kan SURFcert meldingen efficiënt ontvangen en doorgeven aan de toezichthouder.