Cyberveiligheid: lichter toezicht voor hoger onderwijs

Universiteiten en hogescholen zijn al goed bezig met hun cyberveiligheid, dus hoeft de overheid alleen ‘toezicht achteraf’ te houden. Dat staat in de conceptversie van een nieuwe ministeriële regeling.

Persoonsgegevens lekken, kennis stelen, losgeld eisen… Ook hogescholen en universiteiten krijgen weleens een hackersaanval te verduren. Maar ze verweren zich kranig, vindt het kabinet.

De overheid wil meer grip op de cyberveiligheid in het land. Afgelopen april ging de Tweede Kamer in grote meerderheid akkoord met de Cyberbeveiligingswet, een uitwerking van een Europese wet. Het kabinet wil ook het hoger onderwijs onder deze wet laten vallen. Een conceptregeling staat nu online voor een internetconsultatie.

De vraag was vooral: hoe streng wordt deze wet voor het hoger onderwijs? Vooraf maakten de instellingen zich zorgen: het wetsvoorstel zou averechts uitpakken, vreesden ze.

Belangrijk of essentieel

De wet maakt een onderscheid tussen ‘belangrijke’ en ‘essentiële’ entiteiten. Het grootste verschil is hoe streng het toezicht is. Publiek gefinancierde universiteiten en hogescholen worden aangewezen als ‘belangrijke’ entiteiten. Dat wil zeggen: ze krijgen het ‘lichtere toezichtregime’.

Er komt alleen toezicht achteraf, staat in de toelichting. Dat zou genoeg zijn, omdat de onderwijsinstellingen de afgelopen jaren – na bestuurlijke afspraken met het ministerie van Onderwijs – al flink aan hun cyberweerbaarheid hebben gewerkt.

Het doet denken aan een wetsvoorstel voor de screening van masterstudenten en onderzoekers in ‘gevoelige’ vakgebieden, dat minister Rianne Letschert afgelopen week wederom heeft uitgesteld. De onderwijsinstellingen zijn al goed bezig, complimenteerde de minister. Daarom zou de aangekondigde brede screening niet proportioneel zijn.

‘Verstandig‘

De universiteiten spraken vorige week van een ‘verstandige heroriëntatie’ van de minister. Ze waren blij met de nadruk op hun eigen verantwoordelijkheid in kwesties rond kennisveiligheid. Ze spraken ook hun waardering uit voor het extra geld dat de minister uittrekt voor kennisveiligheid en cyberweerbaarheid (80 miljoen voor de komende vijf jaar).

De Inspectie van het Onderwijs krijgt de taak om toezicht te houden. Dat is dus een extra taak voor de inspectie, naast bijvoorbeeld financieel toezicht en toezicht op de sociale veiligheid.

De onderwijsinstellingen krijgen een meldplicht voor incidenten. Naar schatting zullen dat er twee per instelling zijn, dus meer dan honderd per jaar. De kosten van die meldplicht zullen landelijk rond een miljoen euro liggen, is de aanname.