De Europese richtlijn Network and Information Security Directive 2, beter bekend als NIS2, is in oktober 2024 aangenomen in de EU. Die wet gaat over cyberbeveiliging. Een Europese wet moet in elke lidstaat nog apart vastgesteld worden. Dat gebeurt in Nederland naar verwachting in het tweede kwartaal van 2026. De Nederlandse Cyberbeveiligingswet zet de richtlijnen uit de Europese wet om naar concrete kaders, toegepast op de situatie in ons land.

De cyberaanval op de TU/e van afgelopen januari zit bij iedereen nog vers in het geheugen. Hierna heeft de universiteit al maatregelen getroffen om de beveiliging op te schroeven. Informatie is bijvoorbeeld beter afgesloten en toegangsrechten zijn verscherpt. Hierdoor kunnen criminelen bij een inbraak in de systemen minder gemakkelijk bij vitale informatie komen of grote hoeveelheden informatie tegelijk stelen. 

Audit

Het duurt nog enkele maanden voor de nieuwe Nederlandse wet van kracht wordt, maar de TU/e treft nu al voorbereidingen. Zo brengt de universiteit met een audit de huidige cyberveiligheidssituatie in kaart. De audit wordt aangeboden door SURF, de landelijke ICT-coöperatie voor onderwijs en onderzoek. 

“De SURFaudit is een voorbereiding op de NIS2”, weet Chief Information Security Officer (CISO) Joost de Jong. Daarmee meet de TU/e of de bedrijfsgegevens voldoende beschermd zijn en of de privacy van studenten en medewerkers goed geregeld is. Ook wordt gekeken hoe de TU/e het doet ten opzichte van andere universiteiten.

“De TU/e wil weerbaarder en veiliger zijn.” De Jong ziet hier de ambitie van de universiteit en de invoering van de Cyberbeveiligingswet mooi samenkomen. “Als we ons inspannen om weerbaarder te worden, is de verwachting dat we ook aan de nieuwe wet zullen voldoen.” Dat laatste is natuurlijk pas met zekerheid te zeggen als die in het parlement is vastgesteld.

Opleiden

“De NIS2 stelt dat we medewerkers moeten gaan opleiden”, weet De Jong. Medewerkers krijgen nauwelijks instructie hoe ze hun computer moeten gebruiken. “Als ik dat benoem, is de reactie: ‘dat hoeft toch ook niet, er werken allemaal hoogopgeleiden op de TU/e’, maar de realiteit is dat het regelmatig misgaat door gebrek aan kennis.”

“Er hoeft maar één medewerker wat geprinte documenten in de trein te laten liggen of e-mails te checken op een telefoon met een meelezende AI-app. Regelmatig bijscholen zorgt ervoor dat je alert blijft op dataveiligheid en privacy.”

Geld nodig

De invoering van nieuwe wetten is vaak duur, omdat er van alles geregeld moet worden. De Jong: “Zo’n wet komt met meer verplichtingen, maar zonder geld. De investeringen die we hierin moeten doen, kunnen we niet meer doen in onderwijs en onderzoek. Daarom ben ik van mening dat de universiteit met het kabinet in gesprek moeten om hier budget voor te krijgen.”

Een belangrijk thema in de Cyberbeveiligingswet is ‘weerbaarheid’. Weerbaarheid betekent dat er is nagedacht over de meest waardevolle data van een organisatie, maar ook over de zwakke plekken. De universiteit probeert bijvoorbeeld het netwerk zo te beschermen dat criminelen niet kunnen inbreken. Als het dan toch gebeurt, zoals begin dit jaar, helpt het heel erg als er voorbereidingen getroffen zijn. 

Dat kan onder andere door netwerken te compartimenteren, wat wil zeggen dat onderdelen apart worden beveiligd. Dringt een crimineel binnen in een netwerk, dan heeft hij niet meteen toegang tot alle informatie. Belangrijk is ook het voorbereiden van de werkwijze bij calamiteiten. Goede voorbereiding zorgt ervoor dat een organisatie zo snel mogelijk weer kan functioneren. 

Kansen

CISO De Jong ziet opties om binnen de universiteit de weerbaarheid verder te verbeteren en tegelijkertijd geld te besparen. “We kunnen nog meer halen uit standaardapplicaties. Zo hebben we softwarelicenties die breder gebruikt mogen worden, maar waarbij we dat nog niet doen.” Dat zijn vertrouwde applicaties en die kunnen vaak meer dan waar ze al voor gebruikt worden. Door ze breder in te zetten, voorkom je dat mensen eigen software downloaden die niet gecontroleerd is op kwetsbaarheden. 

Daarnaast ziet De Jong ook kansen in een grote schoonmaak: alle applicaties die we niet gebruiken, moeten we opruimen. Dat scheelt onderhoudskosten, maar vooral ook risico’s. 

Melden

De Cyberbeveiligingswet verplicht niet alleen tot preventieve opleiding van medewerkers, maar stelt ook hogere eisen aan de procesmatige kant als er toch een incident plaatsvindt.

De nieuwe wet telt vier plichten. Als er een significant incident is – zoals de hack bij de TU/e begin dit jaar – moet de organisatie dat binnen 24 uur melden bij cybersecurityportaal NCSC. Dan is er zorgplicht: de instelling moet passende maatregelen nemen tegen het incident. Vervolgens moet de organisatie de betrokkenen informeren (informatieplicht) en het incident en de afhandeling registreren in het entiteitenregister (registratieplicht). SURF helpt hierbij, zodat niet alle universiteiten zelf het wiel hoeven uit te vinden. 

Spannend

We doen spannend onderzoek in Eindhoven, bijvoorbeeld op het gebied van gezondheidstechnologie en chips, erkent De Jong. Daar gaat de Cyberbeveiligingswet ook over: weten waar gevoelige informatie ligt, iets wat raakt aan het wetsvoorstel Screening kennisveiligheid. Maar gaat een gewone student ook merken dat de universiteit strenger wordt op het beschermen van data? 

De Jong denkt dat dat mogelijk is. “We proberen iedereen zo goed mogelijk te faciliteren, maar het zou kunnen dat er door de nieuwe regels minder mag bij thuiswerken. De universiteit heeft namelijk geen controle over de netwerkbeveiliging bij mensen thuis.” Een VPN biedt wel meer bescherming, maar het is lastig te controleren of iedereen die ook gebruikt. 

De wet gaat niet alleen meer vragen van de medewerkers van een organisatie, maar ook van de leveranciers. Het idee daarachter is, dat leveranciers ook data van medewerkers in de organisatie verwerken of toegang hebben tot het netwerk en daarmee een potentieel risico vormen. “Je kunt je eigen stukje dijk wel goed onderhouden, maar als je buurman dat niet doet, stroomt het water alsnog bij je naar binnen”, zo besluit De Jong.

De exacte tijdlijn van eventuele maatregelen van de TU/e om aan de Cyberbeveiligingswet te gaan voldoen, is nu nog niet bekend. Dat zal blijken wanneer de huidige situatie volledig in kaart is gebracht en wanneer de wet in het Nederlandse parlement is vastgesteld.