Verantwoording cybersecurity
Organisatie

Verantwoording voor cybersecurity in jaarverslagen

Instellingen moeten zich in hun jaarverslagen verantwoorden voor hun beleid op het gebied van digitale weerbaarheid en veiligheid. De koepelorganisaties en het ministerie van Onderwijs, Cultuur en Wetenschappen hebben dat in 2022 afgesproken. In de Monitor digitale weerbaarheid en veiligheid van de Onderwijsinspectie lees je hoe besturen zich in 2023 hebben verantwoord op het gebied van cybersecurity.

Risico’s en maatregelen

In de Monitor digitale weerbaarheid en veiligheid staat dat instellingen de diepgang en omvang van de cyberverantwoording zelf kunnen bepalen. Vaak wordt de risicoparagraaf voor dit doel gebruikt, maar cyberweerbaarheid en -veiligheid kunnen ook als integraal onderdeel van andere onderdelen in het jaarverslag worden opgenomen. In beide gevallen is het van belang de risico’s en maatregelen expliciet te benoemen.

Balans tussen gewenst en ongewenst inzicht 

Tegelijkertijd moet al te specifieke informatie in de beschrijving van de risico’s vermeden worden. Kwaadwillenden, zoals cybercriminelen, kunnen anders gemakkelijk inzicht krijgen in de zwakke plekken in de organisatie. Er moet een balans zijn tussen het gewenste inzicht voor de verantwoording versus ongewenst inzicht voor cybercriminelen.  

Instellingen kunnen verwijzen naar initiatieven of verbeterprogramma’s die voorzien in de groei en ontwikkeling naar cybervolwassenheid. Details van die aanpak en het actuele niveau van cybervolwassenheid kunnen beter achterwege blijven. 

Handreiking cyberverantwoording 

Om instellingen in onze sector te ondersteunen met die verantwoording, heeft SURF de Handreiking Verantwoording voor cybersecurity gemaakt. Door een aantal vragen te beantwoorden kunnen instellingen in hun jaarverslag laten zien wat ze op dit gebied hebben gedaan. Het doel van de handreiking is om overzicht en eenduidigheid te creëren voor de verschillende belanghebbenden.

Leidraad voor de verantwoording 

De volgende vragen kun je als leidraad gebruiken:

  • Welke cybersecurityrisico’s hebben zich het afgelopen jaar gemanifesteerd en/of hebben een belangrijke impact gehad? 
  • Welke risicobereidheid heeft de organisatie ten aanzien van cybersecurity? 
  • Welke maatregelen zijn het afgelopen jaar getroffen om cybersecurityrisico’s te beheersen? 
  • Wat is de verwachte impact als bepaalde cybersecurityrisico’s zich manifesteren? 
  • Welke verbeteringen zijn of worden in het systeem van risicomanagement aangebracht? 
  • Hoe zijn cybersecurityrisico’s verankerd in het systeem van risicomanagement in de organisatie en welke maatregelen zijn genomen om de cultuur, het gedrag en de motivatie van medewerkers te beïnvloeden? 

In de Handreiking Verantwoording voor cybersecurity staan ook voorbeelden van antwoorden die instellingen op deze vragen kunnen geven.

Direct aan de slag met de verantwoording voor cybersecurity? 

Download de Handreiking 

Oktober is de cybersecuritymaand

De hele maand oktober staat wereldwijd extra aandacht voor cybersecurity(awareness) centraal – ook bij SURF.
Meld je aan voor een bijeenkomst, ontdek nieuwe publicaties en praktische tips om de digitale weerbaarheid van je instelling te versterken.

Lees hier alles over de cybersecuritymaand

Gerelateerde artikelen

Cyberbeveiligingswet FAQ  

In deze FAQ vind je snel antwoorden over de zorg-, meld- en registratieplicht van de Cyberbeveiligingswet voor onderwijs en onderzoek.

Organisatie

Zorgplicht onder de Cbw

De Cyberbeveiligingswet legt onderwijs- en onderzoeksinstellingen een zorgplicht op: passende maatregelen om digitale risico’s te beheersen. Lees wat dit betekent en hoe je je voorbereidt.

Organisatie