De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) erkent dat universiteiten en hogescholen ontevreden zijn over de Cyberwet. Toch vraagt de NCTV de Eerste Kamer in Den Haag om het wetsvoorstel door te zetten. Het doel is naleving van de Europese NIS2-richtlijn en sterkere digitale weerbaarheid. De discussie raakt direct aan onderwijs, onderzoek en publieke IT-infrastructuur in Nederland.
Cyberwet blijft volgens NCTV nodig
De NCTV wijst op groeiende digitale dreigingen, zoals ransomware en spionage. Onderwijs- en onderzoeksinstellingen zijn aantrekkelijke doelwitten door hun open netwerken en waardevolle data. Incidenten leggen systemen stil en raken studievoortgang en zorgonderzoek. De NCTV vindt daarom wettelijke basis en toezicht noodzakelijk.
De Cyberwet maakt organisaties verantwoordelijk voor risicoanalyses, basale beveiliging en snelle melding van ernstige incidenten. Zo’n melding is een formele waarschuwing aan de autoriteiten. Dit moet escalatie beperken en kennisdeling versnellen. De wet werkt met eisen die passen bij de omvang en het risico van een instelling.
Voor hoger onderwijs betekent dit meer structurele aandacht voor detectie, logging en patchmanagement. Ook leveranciersbeheer en back-upprocedures worden strenger. Dat raakt bijvoorbeeld clouddiensten en onderzoeksfaciliteiten. De NCTV benadrukt dat duidelijke regels nodig zijn om gaten in de keten te voorkomen.
Hoger onderwijs vreest regeldruk
Universiteiten en hogescholen vrezen extra kosten en dubbel werk. Veel instellingen voldoen al aan ISO 27001 of SURF-beveiligingskaders. Zij willen voorkomen dat de Cyberwet parallelle audits en rapportages oplegt. Regeldruk mag het onderwijs en onderzoek niet verstikken, is de kern van hun boodschap.
Instellingen wijzen ook op de open academische cultuur. Samenwerken en data delen zijn essentieel voor wetenschap en innovatie. Te strakke regels kunnen veldwerk, internationale projecten en open science afremmen. Zij vragen daarom om heldere, proportionele eisen en sectorafspraken.
Daarnaast leven zorgen over boetes en aansprakelijkheid. Onzeker is hoe ver verplichtingen reiken bij complexe ketens en internationale partners. Ook verschillen tussen universiteiten, UMC’s en hogescholen spelen een rol. Eén norm past niet altijd voor alle typen instellingen.
Toezicht en rolverdeling onduidelijk
De vraag wie wat controleert, is nog niet volledig uitgekristalliseerd. In Nederland houdt de Rijksinspectie Digitale Infrastructuur (RDI) op het moment van schrijven toezicht in delen van de digitale sector. Sectorale toezichthouders en het Nationaal Cyber Security Centrum (NCSC) hebben eigen rollen. Het hoger onderwijs wil precies weten waar men moet melden en wie handhaaft.
Ook de rol van SURF en sector-CERT’s vraagt afstemming. Instellingen willen dat bestaande meldpunten en expertise blijven tellen. Dubbele meldingen bij meerdere loketten kosten tijd tijdens een incident. Heldere werkprocessen beperken chaos en fouten.
Transparantie over gegevensuitwisseling met de overheid is belangrijk voor vertrouwen. Incidentdata bevatten vaak gevoelige persoonsgegevens en onderzoeksinformatie. De Algemene verordening gegevensbescherming (AVG) eist dataminimalisatie en passende versleuteling. De Cyberwet zal dus goed moeten aansluiten op privacyregels en academische vrijheden.
Europese NIS2 stuurt de aanpak
De Cyberwet zet de Europese NIS2-richtlijn om in nationale regels. NIS2 breidt de reikwijdte uit naar meer sectoren en ketenpartijen. Ook onderwijs- en onderzoeksorganisaties kunnen daardoor als “belangrijk” of “essentieel” worden aangemerkt. Dat brengt zwaardere beveiligingseisen en strengere rapportageplichten mee.
NIS2 vraagt om risicogebaseerde maatregelen, zoals tweefactorauthenticatie en segmentatie. Ook vereist de richtlijn tijdige incidentmeldingen en directielast. Bestuurders moeten aantoonbaar sturen op cyberbeveiliging. Niet voldoen kan leiden tot sancties.
Voor AI-onderzoek en -toepassingen zijn de eisen extra relevant. AI-modellen en datamodellen draaien vaak op gedeelde HPC- en cloudplatformen. Kwetsbaarheden in zo’n platform raken veel projecten tegelijk. De Europese AI-verordening zal daarbovenop risicobeheer voor bepaalde AI-systemen eisen.
De Cyberwet is het Nederlandse wetsvoorstel dat de EU-richtlijn NIS2 omzet in nationale beveiligings- en meldplichten voor essentiële en belangrijke organisaties.
Balans tussen veiligheid en vrijheid
De kern van het debat is de balans tussen veiligheid en academische vrijheid. Te strakke regels kunnen internationale uitwisseling en open access hinderen. Te losse regels vergroten de kans op datalekken en uitval. De wet moet dus precies genoeg sturen, zonder overbodige lasten.
Proportionaliteit is leidend bij Europese en Nederlandse wetgeving. Maatwerk per sector, duidelijke definities en realistische termijnen helpen. Ook is het belangrijk om bestaande standaarden te erkennen. Zo blijft de inzet van middelen doelgericht.
Privacybescherming blijft randvoorwaarde. Onder de AVG horen versleuteling, toegangsbeheer en dataminimalisatie standaard te zijn. De Cyberwet kan dit versterken met duidelijke technische en organisatorische eisen. Daarmee worden burgers en studenten concreet beter beschermd.
Gevolgen en volgende stappen
Instellingen doen er goed aan nu al hun digitale kroonjuwelen in kaart te brengen. Denk aan studentinformatiesystemen, onderzoeksdata en koppelingen met leveranciers. Ook contracten met cloud- en softwareleveranciers verdienen herziening. Bewijsbare logging en responsplannen worden sleutelonderdelen.
Bestuurders moeten op het moment van schrijven aantoonbaar sturen op cyberrisico’s. Training, oefeningen en een heldere escalatielijn helpen daarbij. Samenwerking met SURF, NCSC en sectorale teams blijft cruciaal. Zo kan kennis sneller doorstromen tijdens incidenten.
De Eerste Kamer bespreekt het wetsvoorstel verder en kan nog aanpassingen vragen. Afspraken over toezicht, meldroutes en proportionaliteit zijn daarbij beslissend. Het hoger onderwijs zoekt zekerheid over uitvoerbaarheid en kosten. De NCTV vraagt om tempo, gezien de aanhoudende digitale dreiging.
