Het voorgenomen besluit van het kabinet om onderwijsinstellingen onder de Cyberbeveiligingswet te plaatsen, draagt volgens Universiteiten van Nederland (UNL), Vereniging Hogescholen, de MBO Raad en SURF niet bij aan betere cyberveiligheid. In tegendeel: het vertraagt de uitvoering van effectieve veiligheidsmaatregelen, leidt tot onnodige bureaucratie en tot hoge kosten. Dat schrijven de vier partijen in een gezamenlijke brief aan minister Bruins van Onderwijs, Cultuur en Wetenschap.
In de brief stellen de onderwijsorganisaties dat de bestaande samenwerking in SURF-verband bewezen effectief is. SURF is de ICT-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. De maatregelen die onderwijsinstellingen nu al nemen, worden extern gecontroleerd en voortdurend aangescherpt. Vorige week werd duidelijk dat dit kabinet van plan is om hogescholen en universiteiten onder de Cyberbeveiligingswet te laten vallen. Met deze wet implementeert het kabinet de Europese NIS2-richtlijn. Dat het kabinet ervoor kiest om onderwijsinstellingen onder de NIS2-richtlijn te laten vallen, creëert volgens de onderwijsorganisaties dubbele regels en onduidelijke verantwoordelijkheden die de veiligheid eerder ondermijnen dan versterken.
“Net als het kabinet achten wij het van evident belang dat onderwijs en onderzoek zeer goed worden beveiligd. Wij onderschrijven volledig het grote belang van cybersecurity. We zijn blij dat de huidige aanpak werkt en echte resultaten oplevert. De Cyberbeveiligingswet draagt daar wat ons betreft niet verder aan bij, maar zal juist leiden tot onduidelijkheid, meer bureaucratie en hogere kosten. Dat is allemaal tijd die we niet kunnen steken in het nog verder verbeteren van de cyberveiligheid”, aldus de voorzitters van de betrokken organisaties.
Niet nodig volgens Europa
De Europese Commissie heeft het voor lidstaten nadrukkelijk een optie gemaakt om onderwijsinstellingen wel of niet onder de richtlijn te laten vallen. De keuze van dit kabinet om dit nu wel te doen, wijkt niet alleen af van een aantal ons omringende landen, maar creëert bovendien een situatie waarbij de termijnen voor implementatie volstrekt onhaalbaar zijn geworden. Daar komt bij dat de Europese Commissie verwacht dat de kosten voor cyberbeveiliging met 22% zullen stijgen. Vorige maand bleek uit de Voorjaarsnota dat het kabinet de onderwijsinstellingen hier niet voor compenseert, maar juist miljoenen euro’s extra bezuinigt op mbo-instellingen, hogescholen en universiteiten om de NIS2-kosten van de Onderwijsinspectie en SURF te bekostigen.
Als het echt niet anders kan
De onderwijsorganisaties roepen het kabinet daarom op het besluit te heroverwegen en stellen dat invoering van de cyberbeveiligingswet voor het vervolgonderwijs niet op te leggen tenzij:
- Dit op zijn vroegst na 2029 gebeurt, zodat instellingen voldoende voorbereidingstijd krijgen;
- Er voldoende financiële middelen beschikbaar worden gesteld;
- En er sectorale normen worden vastgesteld die passen bij het werkelijke risicoprofiel van de hogescholen en universiteiten.
Lees hier de gezamenlijke brief van de onderwijsorganisaties: Reactie op kabinetsvoornemen tot aanwijzen onderwijsinstellingen onder de NIS2-richtlijn
Fotocredits: De Haagse Hogeschool