NIS2 in aantocht: de betekenis van de nieuwe wet voor het hoger onderwijs
In januari 2025 legde een gerichte cyberaanval de Technische Universiteit Eindhoven grotendeels plat. Digitale systemen gingen op zwart, tentamens werden afgelast en studenten konden dagenlang niet inloggen. Alsof dat nog niet genoeg was, werd SURF, de digitale ruggengraat van het onderwijs, getroffen door een DDoS-aanval, met gevolgen voor meerdere instellingen. Deze incidenten maken duidelijk dat het hoger onderwijs een aantrekkelijk doelwit is en dat het belangrijker is dan ooit om de cyberveiligheid structureel op orde te hebben. Universiteiten en hogescholen beheren niet alleen grote hoeveelheden persoonsgegevens, maar ook gevoelige onderzoeksdata en kennis. Zonder adequate cyberbeveiliging kunnen deze informatie en innovaties in verkeerde handen vallen.
In deze blog laten we zien wat de Europese NIS2-richtlijn kan betekenen voor scholen en instellingen in het hoger onderwijs. Hoewel zij niet automatisch onder de verplichtingen uit de wet vallen, kunnen zij alsnog worden aangewezen om eraan te voldoen. Om de digitale weerbaarheid te versterken, is het van groot belang om nu al te begrijpen wat NIS2 inhoudt en welke impact dit kan hebben.
De NIS2-richtlijn
Om de cyberweerbaarheid te vergroten en ontwrichting te voorkomen, heeft de Europese Unie de NIS2-richtlijn vastgesteld. Deze richtlijn stelt strengere eisen dan de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en is van toepassing op een groter aantal sectoren. De richtlijn wordt in Nederland uitgewerkt in de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt.
Het doel van deze wet is het versterken van de cyberbeveiliging. Dit gebeurt door het stellen van regels op het gebied van risicobeheersing, het voorkomen en beperken van incidenten, en het delen van informatie over (bijna-)incidenten. De Rijksoverheid bepaalt welke organisaties onder deze wet vallen, op basis van criteria zoals:
- De maatschappelijke of economische impact van een cyberincident.
- De mate waarin een organisatie afhankelijk is van netwerk- en informatiesystemen.
- De mogelijke verstoring van openbare orde of veiligheid.
Impact van de NIS2-richtlijn op het hoger onderwijs
In artikel 11 en 13 van het wetsvoorstel Cbw is opgenomen dat de Minister van Onderwijs, Cultuur en Wetenschap een instelling voor hoger onderwijs kan aanwijzen als essentiële of belangrijke entiteit. Het is daarom aan te raden om de Cbw nu al als richtlijn te hanteren, zodat instellingen goed voorbereid zijn als zij op termijn wél aan de wet moeten voldoen.
Beter voorbereid dan te laat getroffen. Door nu te handelen, bescherm je niet alleen gegevens, maar ook de toekomst van je instelling.
Hoe de overheid bepaalt welke organisaties onder de NIS2-regels vallen
Bij de aanwijzing van organisaties die onder de nieuwe Cyberbeveiligingswet vallen, kijkt de overheid niet alleen naar de sector waarin een organisatie actief is, maar vooral naar de specifieke rol en het risico dat zij vormt. Daarbij worden onder andere het maatschappelijk en economisch belang, de mate van afhankelijkheid van digitale systemen en de mogelijke impact van een cyberincident op de samenleving meegewogen.
Ben je als instelling aangewezen als een hogeronderwijsinstelling op basis van de Wet op het hoger onderwijs en wetenschappelijk onderzoek? Dan is het belangrijk om nu al te onderzoeken wat deze wetgeving voor jou kan betekenen. Zo voorkom je verrassingen en ben je beter voorbereid op mogelijke toekomstige verplichtingen.
Belangrijkste verplichtingen uit de Cyberbeveiligingswet
Als een organisatie onder deze wet valt, dan gelden er vier belangrijke verplichtingen:
Zorgplicht
De wet verplicht organisaties om zelf een risicoanalyse te maken. Op basis daarvan moeten zij passende maatregelen nemen om hun netwerk- en informatiesystemen goed te beveiligen. Het bestuur van de organisatie moet deze maatregelen goedkeuren en controleren of ze worden uitgevoerd. Bestuursleden moeten daarvoor ook een passende opleiding volgen.
Meldplicht
Bij een ernstig cyberincident moet een essentiële of belangrijke entiteit zo snel mogelijk, en uiterlijk binnen 24 uur, een waarschuwing sturen naar haar CSIRT en de bevoegde autoriteit. Daarin staat of het incident vermoedelijk opzettelijk is veroorzaakt, of het grensoverschrijdende gevolgen kan hebben en wie verantwoordelijk is voor de melding. Binnen 72 uur volgt een volledige melding met een eerste inschatting van de impact, eventuele technische aanwijzingen en aanvullende informatie om de ernst en reikwijdte van het incident te kunnen beoordelen.
Registratieplicht
Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich verplicht registreren in het entiteitenregister. Het NCSC werkt aan een online systeem waarmee organisaties zich kunnen aanmelden als NIS2-entiteit.
Toezicht
Organisaties die onder deze wet vallen, krijgen te maken met toezicht. Er wordt gecontroleerd of zij zich houden aan de regels van de wet, zoals de zorgplicht en de meldplicht.
Waarom investeren in cyberbeveiliging nu noodzakelijk is
De komst van de NIS2-richtlijn vraagt van hogescholen niet alleen extra oplettendheid, maar ook een goede en blijvende aanpak van cyberbeveiliging. Een datalek kan grote gevolgen hebben. Denk aan het uitlekken van vertrouwelijke onderzoeksinformatie, het verspreiden van persoonsgegevens van studenten en medewerkers, hoge kosten door bijvoorbeeld bestuurlijke boetes of schade aan de reputatie van de instelling. In een omgeving waar kennis, privacy en vertrouwen belangrijk zijn, is het voorkomen van datalekken geen extraatje, maar echt nodig. Daarom is het belangrijk dat hogescholen zich nu al goed voorbereiden, en investeren in zowel technische maatregelen als het bewust maken van medewerkers en studenten.
Heb je nog vragen over de Cyberbeveiligingswet of wil je sparren over een passende aanpak voor jouw organisatie? Neem gerust contact met ons op.
