Waar ben je naar op zoek?

Meest gezocht:

Meest gezocht:

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.

Cybersecurity

Direct naar

Cyberbeveiligingswet

De Cyberbeveiligingswet (Cbw) is de Nederlandse uitvoering van de Europese NIS2-richtlijn voor betere bescherming tegen cyberaanvallen en digitale verstoringen. Organisaties die onder deze wet gaan vallen zijn verplicht om hun digitale systemen goed te beveiligen. Bestuurders zijn onder de Cyberbeveiligingswet eindverantwoordelijk voor de cyberveiligheid van hun organisatie. 

Welke onderwijsinstellingen gaan onder de wet vallen?  

Het ministerie van Onderwijs, Cultuur en Wetenschap heeft hogeronderwijsinstellingen  aangewezen die onder de wet gaan vallen. Dat zijn hbo's en universiteiten. Ook onderzoeksinstituten vallen onder de wet. Daarnaast is ook SURF aangewezen.

Binnen de SURF-coöperatie vinden we het belangrijk om samen op te trekken. Daarom is het uitgangspunt dat ook leden die niet zijn aangewezen gebruik kunnen blijven maken van de diensten van SURF en SURFcert en waar mogelijk ook profiteren van de maatregelen die we nemen.

Wanneer gaat de wet in?

De Cyberbeveiligingswet (Cbw) treedt naar verwachting in het tweede kwartaal van 2026 in werking. Vanaf dat moment moeten aangewezen instellingen voldoen aan de meld- en registratieplicht en hebben ze 3 jaar de tijd om te voldoen aan de zorgplicht.

Verplichtingen van de Cyberbeveiligingswet

De wet bevat een aantal verplichtingen die organisaties helpen om hun beveiliging te versterken en beter om te gaan met incidenten. 

Zorgplicht

  • Organisaties moeten passende technische en organisatorische maatregelen treffen om risico’s te beperken. Zo zijn bestuurders onder de Cyberbeveiligingswet eindverantwoordelijk voor de cyberveiligheid van hun organisatie. Ze moeten actief sturen op risico’s, beleid en naleving, en voldoende kennis hebben, onder andere via training. Bij nalatigheid kan de toezichthouder hen daarop aanspreken.

Meldplicht

  • Organisaties moeten ernstige incidenten op tijd melden. Zo kan schade worden beperkt en kunnen andere partijen worden gewaarschuwd.  Incidenten moeten worden gemeld bij het sectorale CSIRT (Computer Security Incident Response Team). Voor onderwijs en onderzoek is dat naar verwachting SURFcert.

Registratieplicht

  • Essentiële en belangrijke organisaties moeten zich registreren bij de toezichthouder. Voor onderwijs en onderzoek is dat de Inspectie van het Onderwijs. 

Lees meer over de Cbw 

Op de website van het SURF Security Expertise Centrum vind je een FAQ, verdiepende artikelen over de verplichtingen en praktische handreikingen om je organisatie voor te bereiden op de Cyberbeveiligingswet. 

Naar het SURF Security Expertise Centrum