Van veel van onze onderwijsklanten krijgen wij vragen over het toepassen van de Network and Information Security directive (NIS2-richtlijn) die door de Europese Unie is vastgesteld en tot doel heeft om het niveau van informatiebeveiliging van essentiële dienstverleners te verbeteren. Moet mijn school hier ook aan voldoen? Of toch niet? En hoe verhoudt zich dat dan met het Normenkader waarover ik ook van alles lees? In deze blog een uitleg over beide raamwerken en voor wie ze bedoeld zijn.
Om maar met de deur in huis te vallen: als school hoef je niet te voldoen aan de NIS2-richtlijn.
Er zijn binnen de EU sectoren aangewezen waarop de NIS2-richtlijn van toepassing is. Dit zijn sectoren waarvan is vastgesteld dat zij essentieel zijn voor het draaiend houden van de maatschappij. Denk aan bedrijven in de energiesector, het bankwezen en de gezondheidszorg. Je zou kunnen stellen dat, wanneer de dienstverlening van dit soort bedrijven (langdurig) uitvalt, er levensbedreigende situaties zouden kunnen ontstaan. Van deze sectoren wordt verwacht dat zij dus voldoende maatregelen treffen om de continuïteit van de dienstverlening te borgen.
Maar hoe zit dat dan in het onderwijs?
Ook voor het onderwijs geldt dat informatiebeveiliging een steeds belangrijker thema wordt. Als school verwerk je veel informatie die voor een deel vaak privacygevoelig is. Of je gebruikt informatiesystemen waarvan het uitvallen een enorme impact heeft op de voortgang van het onderwijs. Ga maar na, wat als Magister of Som er langdurig uit ligt?
Of itslearning? Je email?
Het is dus maar te hopen dat jouw organisatie iets geregeld heeft waardoor dit soort risico’s tot een acceptabel minimum gereduceerd is. En precies daar gaat het Normenkader over. Binnen het Normenkader wordt uitgelegd aan welke maatregelen een onderwijsinstelling moet voldoen om de informatiehuishouding van de organisatie op peil te houden. Om te voorkomen dat informatie verloren gaat of (tijdelijk) niet beschikbaar is.
Er is 1 uitzondering: als je als onderwijsinstelling kritieke onderzoeksactiviteiten uitvoert kan de lidstaat waar je gevestigd bent bepalen dat de NIS2-richtlijn ook voor jouw organisatie van toepassing is.
Dus het Normenkader is iets anders dan de NIS2-richtlijn
Ja en nee. Strikt genomen is het een ander model en dus anders dan de NIS2-richtlijn. En er gelden wat andere spelregels. Maar praktisch gezien zit er heel veel overlap in beide modellen. In de basis gaat het er bij informatiebeveiliging altijd om dat informatie beschikbaar is, integer en vertrouwelijk. De welbekende BIV-classificatie.
De verschillen op een rij
| Normenkader IBP-FO | NIS2-richtlijn |
| Bedoeld voor alle scholen in het funderend onderwijs in Nederland | Bedoeld voor essentiële en belangrijke bedrijven binnen Europa die onder een bepaalde sector vallen |
| Gebaseerd op het model informatiebeveiliging van de Nederlandse Beroepsvereniging Accounts | Gebaseerd op de Baseline Informatiebeveiliging Overheid (en daarmee op ISO27002) |
| Juridische borging verwacht in 2027 | Juridische borging verwacht in 2024 |
| Naast normen rondom Informatiebeveiliging (IB) zijn er ook normen in ontwikkeling die gaan over Privacy (P). Deze normen zullen in lijn zijn met de AVG-wetgeving. | Belangrijk onderdeel van NIS2 is ook de meldplicht. Entiteiten moeten incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren melden bij de toezichthouder. |
| Weten wat SPEYK kan betekenen rondom het Normenkader? Klik hier. | Weten wat SPEYK kan betekenen rondom NIS2? Klik hier. |
Samenvattend
Als school hoef je niet te voldoen aan de NIS2-richtlijn. Wel is het van belang om stappen te zetten voor de implementatie van het Normenkader. Dit kader biedt richtlijnen voor het implementeren en onderhouden van maatregelen rondom informatiebeveiliging, waar je in 2027 aan moet voldoen.
Wil je meer weten over het Normenkader? Bij SPEYK staan we in de startblokken om jou te helpen met de stappen die nodig zijn om de basis op te orde te krijgen, te behouden en dit verder te optimaliseren.
Olaf Ritman
Transitiemanager bij SPEYK
