Het kabinet werkt aan een wetsvoorstel om de Nederlandse cyberveiligheid te verbeteren. Misschien vallen hogescholen en universiteiten er ook onder. Dan worden onderwijsbestuurders medeverantwoordelijk voor de weerbaarheid van hun instelling.

“Vandaag is het de TU Eindhoven die getroffen wordt, maar morgen is het onze energievoorziening of zijn het onze operatiekamers”, zei Barbara Kathmann (GroenLinks-PvdA) dinsdag in het vragenuur van de Tweede Kamer.

Kathmann wil dat alle vitale sectoren (zoals havens, ziekenhuizen en onderwijsinstellingen) een 48-uursplan maken om hun ict-systemen snel weer in de lucht te krijgen of anders ‘analoog’ door te gaan.

Staatssecretaris van Justitie Teun Struycken (NSC) beantwoordde haar vragen. Er komt een wetsvoorstel naar de Tweede Kamer om de cyberweerbaarheid te verhogen. Sectoren als de zorg en de overheid, maar bijvoorbeeld ook de voedselindustrie, worden straks verplicht om veiligheidsmaatregelen te nemen. Die maatregelen zullen ook wel over de reactie in de eerste 48 uur gaan, verwachtte hij.

Bezuinigingen

Ook instellingen voor hoger onderwijs kunnen onder die wet gaan vallen. Dat zag Kathmann aankomen en ze wist ook dat er meer geld is uitgetrokken voor cybersecurity. Maar als het kabinet tegelijkertijd hard bezuinigt op universiteiten en hogescholen, wat zijn dan de gevolgen voor hun cyberveiligheid?

Veiligheid is een kernprioriteit, antwoordde Struycken, en niet een sluitpost. “In het aanwenden van mensen en middelen zal die prioritering moeten doorklinken.” Met andere woorden, ook met een krap budget moeten instellingen de veiligheid op orde hebben.

Ook anderen mengden zich in het debat. Het hoger onderwijs moet dankzij die nieuwe wet digitaal weerbaarder worden, maar weet het kabinet hoe het momenteel gesteld is met de ‘cyberweerbaarheid’ van het hele hoger onderwijs, wilde Jesse Six Dijkstra (NSC) weten. Struycken wist het niet. Dat wordt nu in kaart gebracht, zei hij, mede om te bepalen of het onderwijs straks onder de wet gaat vallen of niet.

Medeverantwoordelijk

Don Ceder (ChristenUnie) wilde meer weten over het toezicht op cyberveiligheid. Hij verwees naar de geruchtmakende aanval van vijf jaar geleden op de Universiteit Maastricht. Hoe weten we of Eindhoven daar lering uit heeft getrokken?

Het onderzoek in Eindhoven loopt nog, antwoordde Struycken, dus het is niet bekend wat er precies aan de hand is. Uit dit onderzoek zal wel blijken of iemand ergens in tekortgeschoten is.

In de nieuwe wet worden bestuurders medeverantwoordelijk gemaakt voor de veiligheidsmaatregelen, vertelde hij. Dit kan dus ook voor bestuurders van universiteiten en hogescholen gaan gelden. “Zij moeten dan een opleiding volgen om het toezicht adequaat te kunnen uitvoeren”.