Waar ben je naar op zoek?

Meest gezocht:

Meest gezocht:

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
podcastopname met Albert Hankel (links op foto) en Niels Weijers (rechts op foto).
Podcast

SURFshort

Wat je moet weten over... de Cyberbeveiligingswet

Zijn we klaar voor een grote cyberaanval? Deze vraag is actueler dan ooit. In deze aflevering van SURFshort spreekt host Niels Weijers met Albert Hankel, teamhoofd Security & Privacy bij SURF, over de nieuwe Cyberbeveiligingswet (Cbw). Wat houdt deze wet in? Wat verandert er voor instellingen? En hoe zorg je dat je er niet alleen aan voldoet, maar er ook sterker van wordt?

Met recente incidenten in het onderwijs en een toenemende digitale afhankelijkheid staat cybersecurity hoog op de agenda. 

Waar gaat deze aflevering over?

In deze aflevering hoor je onder andere: 

  • Wat de Cyberbeveiligingswet precies inhoudt
  • Wat meldplicht, registratieplicht, zorgplicht en toezicht betekenen
  • Onderdelen die nog niet definitief zijn vastgesteld in de voorgestelde wet
  • Wat dit concreet vraagt van bestuurders
  • Hoe SURF en SURFcert instellingen ondersteunen
  • Waarom deze wet méér moet zijn dan een compliance-oefening 

Wat is de Cyberbeveiligingswet? 

De Cyberbeveiligingswet is de Nederlandse invulling van de Europese NIS2-richtlijn. De Cbwverplicht bepaalde sectoren om hun cybersecurity aantoonbaar op orde te hebben. De wet is nog niet volledig door de kamer heen, maar Albert verwacht dat het vanaf 1 mei 2026 in werking treedt. 

De wet bestaat uit 4 belangrijke onderdelen: 

  1. Meldplicht
    Serieuze cyberincidenten moeten gemeld worden bij de bevoegde instanties.
  2. Registratieplicht
    Organisaties moeten zich registreren en inzicht geven in hun digitale infrastructuur, zodat bij dreigingen snel geschakeld kan worden.
  3. Zorgplicht
    Instellingen moeten voldoen aan een set cybersecuritymaatregelen die risico gebaseerd werken, inclusief aandacht voor keten- en leveranciersmanagement.
  4. Toezicht
    Er komt toezicht op naleving. Afhankelijk van de classificatie (essentiële of belangrijke entiteit) gebeurt dit proactief of achteraf. Ook worden bestuurders expliciet verantwoordelijk voor het op orde hebben van cybersecurity. Zij moeten aantoonbaar kennis hebben van cyberrisico’s. 

Het NCSC is verantwoordelijk hiervoor processen in te richten en wil dat zoveel mogelijk centraal organiseren. Voorlopig is SURFcert aangewezen als sectorale voorziening voor het hoger onderwijs.  

Waarom is deze wet nodig?

Digitalisering raakt steeds dieper verweven met primaire processen in onderwijs en onderzoek.  Als die systemen uitvallen of worden aangevallen, heeft dat directe maatschappelijke impact. 

Niet alleen de fysieke infrastructuur moet beveiligd worden. Hetzelfde geldt voor de digitale infrastructuur. De wet legt een minimale standaard vast en zorgt voor een gelijk speelveld binnen Europa. 

Wat betekent dit voor het hoger onderwijs?

Nederland heeft het voornemen uitgesproken om het hoger onderwijs onder de wet te laten vallen. Dat betekent per 1 mei 2026 het volgende voor instellingen: 

  • Ze moeten zich registreren
  • Ze moeten in staat zijn om serieuze incidenten te melden
  • Ze moeten over 3 jaar voldoen aan de zorgplicht
  • Bestuurders krijgen aanvullende verantwoordelijkheden en dienen traingen te volgen en certificaten te behalen op het gebied van cybersecurity 

SURF, SURFcert, OCW en de onderwijsinspectie zijn in gesprek over de precieze invulling, zoals de definitie van een ‘ernstig incident’ en de manier waarop toezicht wordt ingericht. Maar ook hoe de drempel voor het melden van kleinere incidenten zo laag mogelijk is, zodat de sector van deze incidenten kan leren. 

Een belangrijk uitgangspunt van SURF is dat de sector niet alleen aan de wet moet voldoen, maar er ook sterker van moet worden. Bijvoorbeeld door kennisdeling en gezamenlijke ondersteuning. 

Wat levert het instellingen op?

Veel instellingen zijn al vergevorderd op het gebied van cybersecurity. Ze werken bijvoorbeeld met het SURFaudit-toetsingskader informatiebeveiliging. 

Toch voegt de Cyberbeveiligingswet aanvullende elementen toe, zoals: 

  • Sterkere focus op risico gebaseerd werken
  • Verplicht keten- en leveranciersmanagement
  • Formele bestuurlijke verantwoordelijkheid 

De uitdaging is om de wet niet alleen als verplichting te zien, maar als kans om cybersecurity structureel naar een hoger niveau te tillen. Een onderdeel van de Cyberbeveiligingswet is dat SURFcert instellingen bijstand moet verlenen. Hoewel dit nu al gebeurt, biedt de wet straks ruimte om die ondersteuning op een actievere manier vorm te geven. 

Wat kun je nu al doen?

Voor veel instellingen betekent dit: 

  • Bestuurlijke betrokkenheid vergroten
  • Meld- en registratieprocessen voorbereiden
  • Multifactor authenticatie en andere basismaatregelen op orde brengen
  • De implementatie raakt vooral ict, CISO’s en bestuurders, maar werkt uiteindelijk door naar de hele organisatie. 

Verder verdiepen?

Wil je meer weten over de Cyberbeveiligingswet en wat dit betekent voor jouw instelling? 

Ga naar het Security Expertise Centrum van SURF: sec.surf.nl/cyberbeveiligingswet 

Hier vind je achtergrondinformatie, duiding en praktische handvatten.

Over SURFshort

Elke maand praten we je met een nieuwe SURFshort in 15 minuten bij over de technologische ontwikkelingen in onderwijs en onderzoek.

Luister meer podcasts Volg de podcast op Spotify

Gerelateerde onderwerpen: