De Cyberbeveiligingswet en SURFcert

De minister van OCW heeft het voornemen uitgesproken om het hbo en wo onder de Cyberbeveiligingswet (Cbw) te laten vallen. SURFcert bereidt zich voor om daarin een formele rol te krijgen als sectoraal CSIRT: het centrale meldpunt voor cybersecurity-incidenten in onderwijs en onderzoek.

Gevolgen voor jouw samenwerking met SURFcert

De Cbw heeft geen directe gevolgen voor de dagelijkse samenwerking tussen SURFcert en de onderwijs- en onderzoekssector. We helpen instellingen al ruim 30 jaar bij beveiligingsincidenten en dat blijft ook zo.

De belangrijkste verandering zit in de 3 nieuwe verplichtingen voor jouw instelling als je onder de Cbw komt te vallen:

  • de zorgplicht: je moet passende technische en organisatorische maatregelen treffen om cyberrisico's te beperken;
  • de meldplicht: significante incidenten moet je binnen een vastgestelde termijn melden bij het sectorale CSIRT en de toezichthouder;
  • de registratieplicht: als instelling moet je je registreren bij de toezichthouder, de Inspectie van het Onderwijs.

De rol van SURFcert bij de meldplicht

Formeel gaat SURFcert vooral een rol spelen bij de meldplicht: de verplichte meldingen van instellingen komen bij ons (en bij de toezichthouder) binnen, waarna we je ondersteunen met hulp en advies. Hoe dat proces verloopt kun je lezen in de handleiding Incident Melden.

Valt jouw instelling niet onder de Cbw, of heb je te maken met een niet-significant incident? Meld het incident dan altijd vrijwillig bij SURFcert. Die meldingen helpen ons om een compleet beeld te krijgen van de dreigingen, zodat we de sector nog beter kunnen ondersteunen.

Informatie en ondersteuning

Heb je vragen over de Cbw, wat de wet voor jouw instelling betekent of welke ondersteuning SURFcert jou kan bieden? Ga direct naar: