Cyberbeveiligingswet FAQ  

De Cyberbeveiligingswet is niet van toepassing op alle organisaties, maar alleen op organisaties in bepaalde sectoren en/of omvang. Van sommige sectoren is in de wet bepaald dat ze er per definitie onder vallen, zoals zorg, of zelfstandige bestuursorganen.

Voor het hoger onderwijs ligt de beslissing tot aanwijzing bij de minister van OCW. Die heeft aangegeven dat alle bekostigd hoger onderwijs (hogescholen en universiteiten) ook onder de wet te willen laten vallen.

Het mbo valt niet onder de wet.

In andere sectoren bepaalt de wet zelf welke organisaties onder de Cbw vallen. Voor het hoger onderwijs wijst de minister van OCW concreet aan welke instellingen onder de wet vallen, ongeacht omvang of type organisatie.

De wet treedt naar verwachting in Q2 2026 in werking.
Vanaf die datum gelden de registratie- en meldplicht direct.

Alleen voor hoger onderwijsinstellingen wordt de zorgplicht volgens het wetsvoorstel drie jaar later van kracht, in 2029. Voor alle andere sectoren gaat die ook direct bij ingang wet in.

Bij de ingangsdatum in 2026 zijn de registratie- en meldplicht direct van kracht voor het hoger onderwijs.
De zorgplicht gaat pas in 2029 van kracht voor deze sector.

De minister van OCW is verantwoordelijk voor het aanwijzen van de toezichthouder. Voor het hoger onderwijs wordt de Inspectie van het Onderwijs naar verwachting aangewezen als toezichthouder.
SURFcert ondersteunt als wettelijk CSIRT, maar heeft geen toezichthoudende rol.

Het Nationaal Cyber Security Centrum heeft een dubbelrol met betrekking tot de Cbw.

Het centrum voert de nationale taken uit, zoals coördinatie tussen de verschillende sectorale CSIRTs en het aanbieden van het nationale registratie- en meldportaal. Het NCSC is in deze rol gesprekspartner van SURFcert.
 
Daarnaast is het NCSC ook het sectorale CSIRT voor de rijksoverheid en vitale sector. Veel communicatie van het NCSC is ingestoken vanuit deze rol.

Onderwijsinstellingen kunnen primair terecht bij SURFcert als sectoraal CSIRT en hoeven gewoonlijk niet direct in contact te treden met het NCSC. Idem kunnen zorginstellingen primair terecht bij Z-CERT.

Met betrekking tot de Cyberbeveiligingswet is het goed te onderscheiden welke verschillende rollen SURF heeft in verhouding tot de wet:

Als samenwerkingsorganisatie helpt SURF instellingen met wat zij nodig hebben om te kunnen voldoen aan de wet. Bijvoorbeeld middels ons toetsingskader, handreikingen op het Security Expertisecentrum, of het organiseren van een training voor bestuurders. Hoe SURF de instellingen hierbij kan ondersteunen wordt besproken in de Regiegroep Cyberveiligheid.

SURFcert als beoogd wettelijk CSIRT voor het hoger onderwijs. Het kader hiervoor is de wettelijke taak en het ministerie van OCW de formele opdrachtgever. Als sectoraal CSIRT onderhoudt SURFcert ook de contacten met andere sectorale CSIRTs en de landelijke functie van het NCSC.

SURF als it-dienstverlener aan de instellingen. Als digitale dienstverlener valt de SURF-organisatie zelf ook onder de reikwijdte van de wet en bereidt zich daarop voor.

SURFcert onderhoudt contacten met andere sectorale CSIRTs en het NCSC.
Dit ondersteunt coördinatie, kennisdeling en respons bij sectoroverschrijdende incidenten.

De zorgplicht verplicht instellingen om passende maatregelen te nemen om hun digitale weerbaarheid te versterken.

Voor hoger onderwijs geldt dat deze plicht vanaf 2029 van kracht wordt, zodat instellingen voldoende voorbereidingstijd hebben.

Omdat de voorgenomen aanwijzing van het hoger onderwijs pas in april 2025 bekend werd, krijgt de sector extra tijd.

De zorgplicht gaat daarom drie jaar na ingang van de wet in, in 2029.

Instellingen kunnen hun risicoanalyse up-to-date houden, beveiligingsmaatregelen evalueren, incidentresponseprocessen oefenen en gebruikmaken van handreikingen, templates en trainingen van SURF om voorbereid te zijn op de zorgplicht.

SURF organiseert trainingen en geeft handreikingen die bestuurders helpen om inzicht te krijgen in verantwoordelijkheden, prioriteiten te stellen en de juiste maatregelen te implementeren.

Vanaf de ingangsdatum van de wet in 2026 moeten onderwijsinstellingen ernstige incidenten direct melden via het landelijke portaal Mijn NCSC.
Kleine verstoringen vallen meestal niet onder de meldplicht.

Een significante melding betreft een incident met grote impact op processen, gegevens of de dienstverlening.
Landelijke kaders bepalen de drempelwaarden; de sector onderwijs werkt deze kaders samen met OCW, VH en UNL nader uit.

Onderwijsinstellingen melden incidenten in het portaal Mijn NCSC.
Van daaruit worden meldingen automatisch doorgezet naar SURFcert en de Inspectie van het Onderwijs.
Zo ontstaat een centraal en uniform proces.

SURFcert ontvangt meldingen van onderwijsinstellingen, coördineert de informatie-uitwisseling met andere sectorale CSIRTs en adviseert instellingen over opvolging en mitigatie van incidenten.

In de meeste gevallen niet.
Onderwijsinstellingen melden primair via SURFcert; direct contact met het NCSC is meestal niet nodig.

Instellingen gebruiken het centrale portaal Mijn NCSC voor registratie.
Dit zorgt dat gegevens automatisch beschikbaar zijn voor SURFcert en de toezichthouder.

Registratie geeft inzicht in welke instellingen onder de wet vallen en helpt bij toezicht en coördinatie van incidenten.

De geregistreerde gegevens worden gebruikt om toezicht en coördinatie mogelijk te maken.

SURFcert en de Inspectie van het Onderwijs hebben toegang om meldingen en registraties te verwerken en analyses uit te voeren.

Ja, als digitale dienstverlener valt de SURF-organisatie onder de reikwijdte van de wet.
SURF bereidt zich intern voor om te voldoen aan de verplichtingen van de Cbw.

De registratieplicht zorgt dat de lijst van instellingen bekend is en dat meldingen correct kunnen worden toegewezen.

Zo kan SURFcert meldingen efficiënt ontvangen en doorgeven aan de toezichthouder.