Skip links

helpdesk@kienict.nl

(088) 657 5050

Contact
Ondersteuning

 

KIEN

Cybersecurity onderwijs – NIS2 en IBP voor scholen

Scholen verwerken dagelijks grote hoeveelheden gevoelige gegevens: van leerlingdossiers en zorggegevens tot personeelsinformatie en financiële gegevens. Tegelijk worden scholen steeds vaker het doelwit van cyberaanvallen. De wetgeving rond digitale veiligheid wordt aangescherpt en de verantwoordelijkheid ligt steeds duidelijker bij het schoolbestuur.

Cybersecurity onderwijs: wat NIS2 en het IBP-normenkader betekenen voor jouw school

De wetgeving rond digitale veiligheid in het onderwijs verandert snel. Met de Cyberbeveiligingswet (de Nederlandse vertaling van de Europese NIS2-richtlijn) en het verplichte IBP-normenkader voor funderend onderwijs worden schoolbesturen steeds nadrukkelijker aangesproken op hun verantwoordelijkheid. Niet als formaliteit, maar met echte deadlines en toenemend toezicht.

Wat dat precies betekent voor jouw school, lees je hieronder.

Scholen zijn een makkelijk doelwit

In januari 2025 hadden hackers vijf dagen lang ongemerkt toegang tot de systemen van de Technische Universiteit Eindhoven. Ze waren binnengekomen via een VPN zonder tweestapsverificatie. De gevolgen: systemen vielen uit, tentamens werden afgelast, studenten konden dagenlang niet inloggen. Kort daarna werd SURF, de digitale ruggengraat van het Nederlandse onderwijs, getroffen door een DDoS-aanval die meerdere instellingen raakte.

Waarom? Het onderwijs bevat een schatkist aan informatie

Dit soort incidenten treft niet alleen universiteiten. Ook basisscholen en middelbare scholen worden steeds vaker het doelwit van ransomware-aanvallen en phishing. De gevolgen zijn elke keer hetzelfde: leerlinggegevens die op straat liggen, systemen die wekenlang niet beschikbaar zijn en een bestuur dat zich moet verantwoorden tegenover ouders, medewerkers en de inspectie.

De meest voorkomende dreigingen voor scholen zijn phishing (medewerkers worden misleid om inloggegevens af te geven), ransomware (systemen worden versleuteld en er wordt losgeld geëist), datalekken door zwakke toegangsbeveiliging, en DDoS-aanvallen die systemen onbereikbaar maken.

Wat is NIS2 en de cyberbeveiligingswet?

NIS2 staat voor Network and Information Security, versie 2. Het is een Europese richtlijn uit 2022 die de cyberweerbaarheid van organisaties in Europa wil versterken. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt.

De wet is een directe reactie op de toename van cyberaanvallen in Europa en de versnipperde aanpak die lidstaten tot nu toe hanteerden. NIS2 trekt die aanpak gelijk en maakt bestuurders persoonlijk verantwoordelijk voor de digitale veiligheid van hun organisatie.

Valt mijn school onder NIS2?

Niet elke school valt direct onder de Cyberbeveiligingswet. De wet werkt met aangewezen sectoren en omvangsdrempels.

Hogescholen en universiteiten worden door de Minister van Onderwijs aangewezen als essentiële of belangrijke entiteit. Zij vallen daarmee direct onder de wet. MBO-instellingen bevinden zich nog in een grijze zone; de verwachting is dat grotere instellingen ook worden aangewezen. Basisscholen en middelbare scholen vallen vooralsnog niet direct onder NIS2.

Maar: scholen die gebruikmaken van leveranciers die wél onder NIS2 vallen, worden indirect geraakt. Die leveranciers zijn namelijk verplicht hun keten op orde te hebben en jouw school maakt deel uit van die keten.

Welke verplichtingen gelden er onder NIS2?

Voor aangewezen instellingen gelden vijf hoofdverplichtingen.

  • De zorgplicht verplicht instellingen tot aantoonbare technische, operationele en organisatorische maatregelen om risico’s te beheersen. Wat “aantoonbaar” betekent, wordt ingevuld via standaarden zoals ISO 27001 of NEN 7510.
  • De meldplicht houdt in dat significante incidenten binnen 24 uur gemeld moeten worden bij de toezichthouder.
  • De registratieplicht verplicht instellingen zich in te schrijven in het nationale entiteitenregister zodra ze worden aangewezen.
  • Governance betekent dat bestuurders persoonlijk verantwoordelijk en aansprakelijk zijn, niet de ICT-afdeling.
  • Ketenveiligheid houdt in dat ook leveranciers aantoonbaar moeten voldoen aan beveiligingseisen.

NIS2

Hogescholen en universiteiten krijgen 36 maanden na inwerkingtreding om te voldoen aan de zorgplicht en governance-eisen. De registratieplicht en meldplicht gelden echter direct bij aanwijzing.

Meer informatie over NIS2 en de Cyberbeveiligingswet vind je op rijksoverheid.nl.

Wat is het IBP-normenkader?

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs, kortweg het IBP-normenkader, is de sectorspecifieke standaard voor digitale veiligheid in het primair en voortgezet onderwijs. Het is ontwikkeld door het ministerie van OCW samen met Kennisnet, SIVON, de PO-Raad en de VO-raad, als onderdeel van het programma Digitaal Veilig Onderwijs.

Het normenkader bestaat uit 69 normen voor informatiebeveiliging en 25 normen voor privacy. Per norm zijn vier volwassenheidsniveaus beschreven. Het streefniveau voor 2030 is niveau 3: dat betekent dat maatregelen niet alleen zijn ingevoerd, maar ook gedocumenteerd en consistent worden toegepast.

Wat zijn de deadlines?

Vanaf 1 januari 2027 moeten schoolbesturen een zelfevaluatie of nulmeting hebben uitgevoerd én een concreet plan van aanpak hebben opgesteld om uiterlijk in 2030 volwassenheidsniveau 3 te bereiken. In het jaarverslag moeten besturen al vanaf het verslagjaar 2024 expliciet aandacht besteden aan informatiebeveiliging en privacy.

Uiterlijk 2030 moet elke school in het PO en VO op alle 94 normen voldoen aan niveau 3. Vanaf dat moment volgt toezicht en handhaving door het ministerie van OCW.

Die deadline klinkt ver weg. Maar wie de omvang van het normenkader bekijkt  94 normen, drie domeinen en organisatiebrede invoering, begrijpt dat 2027 al snel is.

Wat wordt er concreet van scholen verwacht?

Het normenkader werkt op drie domeinen die nauw met elkaar samenhangen.

Technisch gaat het om zaken als beveiligde netwerken, sterke toegangsbeveiliging met meervoudige authenticatie, versleuteling van gegevens, patchbeheer, veilige back-ups en actieve monitoring van systemen.

Organisatorisch gaat het om beleid en procedures: een actueel informatiebeveiligingsbeleid, vastgelegde procedures bij incidenten, bewustwordingstrainingen voor medewerkers en een aangestelde IBP-functionaris of Functionaris Gegevensbescherming.

Beleidsmatig gaat het om bestuurlijke verankering: jaarlijkse risicoanalyses, verantwoording in het jaarverslag, verwerkersovereenkomsten met alle digitale leveranciers en een vastgesteld privacy- en beveiligingsbeleid.

Meer over wat een veilige technische basis inhoudt lees je op veilige ICT-infrastructuur voor scholen.

Waar begin je?

Kennisnet biedt het zogeheten Groeipad aan: een gefaseerde aanpak waarbij scholen stap voor stap werken aan een hoger volwassenheidsniveau. Het Groeipad helpt om de grootste risico’s als eerste aan te pakken, zodat de implementatie beheersbaar blijft, ook voor kleinere schoolbesturen. De ICT-coördinator speelt hierin een centrale rol.

Wat is het verschil tussen NIS2 en het IBP-normenkader?

Dat is een logische vraag, want ze raken aan hetzelfde onderwerp. Het belangrijkste onderscheid: NIS2 is brede Europese wetgeving voor aangewezen sectoren boven bepaalde omvangsdrempels. Het IBP-normenkader is een uitgebreide sectorspecifieke standaard, ontwikkeld door en voor het onderwijs zelf.

Voor scholen in het PO en VO is het IBP-normenkader het meest directe en concrete kader om mee aan de slag te gaan. Wie het normenkader op niveau 3 naleeft, voldoet daarmee ook aan veel NIS2-vereisten. Ze versterken elkaar.

Hoe KIEN kan helpen

KIEN is een coöperatie: scholen zijn mede-eigenaar, geen klant. Dat betekent dat alle kennis, tooling en investeringen gedeeld worden tussen de aangesloten instellingen en dat de belangen van KIEN en die van de scholen gelijk zijn.

Op het gebied van cybersecurity en compliance werken we op drie manieren.

We regelen de technische basis. KIEN geeft jaarlijks een ISAE 3402-verklaring af aan haar leden. Dat betekent dat voor de ICT-infrastructuur die KIEN beheert, de technische IBP-normen aantoonbaar op orde zijn. Scholen hoeven die basis dus niet zelf opnieuw op te bouwen.

We ondersteunen bij compliance. KIEN stelt een Functionaris Gegevensbescherming beschikbaar, begeleidt bij datalekken, ondersteunt bij verwerkersovereenkomsten en helpt bij het uitvoeren van een nulmeting voor het IBP-normenkader.

We werken aan bewustwording. Via KIEN Kennis bieden we informatiebeveiliging- en privacytrainingen aan voor medewerkers. Want de techniek kan nog zo goed zijn, als medewerkers niet weten hoe ze een phishingmail herkennen, blijft de deur op een kier staan.
Digitale veiligheid en AI-gebruik gaan steeds meer hand in hand.

ICT-diensten voor het onderwijs
KIEN ICT

Complete ICT-ontzorging binnen het onderwijs

Er zijn talrijke voordelen om je als school aan te sluiten bij KIEN. De drie belangrijkste zijn:

1) De diepte van de dienstverlening
Belangrijk, gezien de toenemende complexiteit van ICT.

2) De controle
Leden zijn eigenaar, dus betrokken bij elke keuze. en

3) Het inkoopvoordeel
Natuurlijk doordat wij gezamenlijk met elkaar optrekken.

Alleen ga je snel, samen kom je verder.

Kom met ons in contact

Ontdek meer over de voordelen van een lidmaatschap bij ons.

    Veelgestelde vragen over digitale veiligheid in het onderwijs

    Moet mijn basisschool of middelbare school voldoen aan NIS2?

    Vooralsnog niet direct. Basisscholen en middelbare scholen vallen niet onder de Cyberbeveiligingswet, maar wel onder het IBP-normenkader. Dat vraagt een zelfevaluatie en plan van aanpak vóór 1 januari 2027, en volledige naleving vóór 2030.

    Wat gebeurt er als een school niets doet?

    Vanaf 2030 houdt het ministerie van OCW toezicht en kan handhaving volgen. Schoolbestuurders die aantoonbaar niets hebben ondernomen, lopen een bestuurlijk en reputatierisico. En los van de wet: een school die in 2027 nog geen nulmeting heeft gedaan, heeft simpelweg geen grip op haar eigen risico’s.

    Wat is een nulmeting?

    Een nulmeting brengt in kaart op welk volwassenheidsniveau jouw school staat voor elk van de 94 normen. Dit kan via de zelfevaluatietool op normenkaderibp.kennisnet.nl, maar ook samen met een externe partij die de meting uitvoert en helpt bij het opstellen van een prioriteitenplan.

    Is een Functionaris Gegevensbescherming (FG) verplicht?

    Voor de meeste scholen wel. Scholen verwerken op grote schaal bijzondere persoonsgegevens. Denk aan gezondheidsgegevens en zorgdossiers van leerlingen. De AVG verplicht in dat geval tot het aanstellen van een FG. De FG adviseert over privacy, begeleidt bij datalekken en houdt toezicht op verwerkersovereenkomsten.

    Hoe werkt de meldplicht bij een datalek?

    Een datalek waarbij persoonlijke gegevens zijn betrokken, moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat er risico is voor betrokkenen. Als het lek waarschijnlijk hoge risico’s oplevert voor leerlingen, ouders of medewerkers, moeten ook zij worden geïnformeerd. Scholen die onder NIS2 vallen hebben daarnaast een meldplicht bij significante beveiligingsincidenten binnen 24 uur.

    Cybersecurity onderwijs