De Cyberweerbaarheidspool vraagt van scholen dat zij aantoonbaar voldoen aan volwassenheidseisen uit het NBA-toetsingskader informatiebeveiliging. Om scholen hierin te ondersteunen heeft het programma Cyberveiligheid mbo een roadmap opgesteld. Onlangs was de aftrap: ‘De ambities van het mbo zijn fors, maar samen groeien we naar een sector die aantoonbaar cyberweerbaar is’.
Met bestuurlijke afspraken zijn er ambitieuze doelen voor de cyberveiligheid van de sector vastgelegd. Het doel is om in 2029 mbo-breed een gemiddeld volwassenheidsniveau van 3,0 te scoren op het NBA-toetsingskader, en een jaar later moet elke individuele mbo-school op dat niveau zitten.
Van 1,8 naar 3,0: een forse ambitie
‘Daarvoor hebben we nog wel een weg te gaan’, vertelt programmamanager Martijn Bijleveld. ‘De externe security-audits geven aan dat het huidige sectorgemiddelde 1,8 is. Daarmee is de sprong naar een gemiddeld volwassenheidsniveau 3.0 in 2029 bijna onoverbrugbaar. Met de cyberweerbaarheidspool zetten we een concreet baken op weg naar die streefvolwassenheid.’
Volwassenheidseisen voor 22 statements
Om in september 2027 aanspraak te kunnen maken op de garantstelling vanuit de pool gelden er volwassenheidseisen voor 22 van de 69 statements uit het toetsingskader. Deze statements zijn bovengemiddeld bepalend voor de cyberweerbaarheid en moeten voor het grootste deel op niveau 3 uitkomen. Martijn: ‘Zo brengen we een duidelijke prioritering aan en bereiken we volgens de prognose in 2027 ruimschoots een gemiddeld niveau van 2,3. We liggen dan op schema richting onze ambities voor 2029/2030. En we zorgen er zo voor dat we op een verantwoorde manier voor elkaar garant kunnen staan als de cyberweerbaarheidspool in september 2027 van start gaat. De komende periode ondersteunen we vanuit het programma scholen ook volop om concreet aan de slag te gaan met de 22 statements.’
Waarom een roadmap?
De roadmap maakt de opgave voor scholen overzichtelijk, haalbaar en beheersbaar. ‘De roadmap laat zien wat er wanneer moet gebeuren en waarom’, licht Edo Meinema van het programma toe. ‘In de eerste fase brengen we de basis op orde: onder andere governance, risicomanagement en bewustwording. In fase twee verschuift de aandacht naar werkende kernmaatregelen en operationele beveiliging. En in fase drie zorgen we dat alles structureel is ingebed en aantoonbaar standhoudt.’ Op deze manier wordt de opgave, individueel en voor de sector, overzichtelijk, haalbaar en beheersbaar.
Ondersteuning vanuit het programma Cyberveiligheid mbo
Het programma Cyberveiligheid mbo (van MBO Digitaal) biedt tijdens de roadmap een uitgebreid palet aan sectorbrede en individuele ondersteuning: inloopspreekuren, online en on-site workshops, schrijfsessies voor beleidsdocumenten, themagerichte coaching en individuele begeleiding van team of bestuur. CISO as a Service van het programma, Henry Meutstege, staat hiervoor samen met Edo paraat. Ook is het team recent uitgebreid met de ervaren CISO’s Matijs van Hilst en John Strijker. ‘Met zijn vieren zijn we beschikbaar om instellingen op locatie of op afstand te helpen,’ vertelt Edo.
… en wat jouw mbo-school zelf kan doen
‘Van mbo-scholen verwachten we hiervoor commitment en transparantie over de voortgang terug’, vult Henry Meutstege aan. ‘Niet om te toetsen, maar zodat we kunnen bijsturen als dat nodig is. We willen voorkomen dat we in september 2027 tot de conclusie komen dat we iets gemist hebben.’ In de mbo-brede GRC-applicatie TrustBound is hiervoor voor elk statement van het toetsingskader een overzichtelijke takenlijst ontwikkeld. ‘Die biedt ook duidelijkheid voor de instellingen: zij zien hier wat de planning, status en voortgang van de taken op de roadmap zijn.’
Samen werken aan een cyberweerbaarder mbo
‘Wij leveren de structuur, de kennis en de ondersteuning,’ vat Edo de roadmap samen. ‘De scholen leveren de regie en het commitment. We hebben veel kennis in de sector, verspreid over alle scholen. Als we samen optrekken, kan elke school op alle onderdelen volwassener worden. Samen werken we aan één doel: een mbo-sector die aantoonbaar cyberweerbaar is.’
Meer weten over de roadmap of de Cyberweerbaarheidspool? Neem contact op met Edo Meinema of Henry Meutstege.
Dit artikel is een bijdrage van MBO Digitaal, een platform van de MBO Raad voor samenwerking aan digitalisering in het mbo. Een van de programma’s van MBO Digitaal is Cyberveiligheid mbo. Wil je weten hoe jouw instelling een cybercrisis kan oefenen. Neem dan contact op met team programma Cyberveiligheid.