Welke kaders gelden voor het hoger onderwijs?

Het hoger onderwijs werkt al jaren met een gezamenlijke aanpak via SURF, de ICT-coöperatie van onderwijs en onderzoek. Twee kaders zijn leidend:

• Het toetsingskader van SURFaudit. Mbo, hbo en wo meten hun informatiebeveiliging jaarlijks via dit kader, dat is gebaseerd op het volwassenheidsmodel van NOREA en NBA. Volwassenheidsniveau 3 is de afgesproken ambitie.

• De Cyberbeveiligingswet. Dit is de Nederlandse omzetting van de Europese richtlijn NIS2. De minister heeft besloten dat hbo en wo hieronder vallen. De wet treedt naar verwachting in 2026 in werking, met een ingroeiperiode van ongeveer drie jaar, en bevat tien zorgplichtmaatregelen plus een meldplicht bij significante incidenten.

En het mbo?

Het mbo gebruikt hetzelfde toetsingskader van SURFaudit en werkt aan dezelfde ambitie van niveau 3. Het mbo is niet automatisch aangewezen onder de Cyberbeveiligingswet en blijft hierover in overleg met OCW. De aanpak voor toegangsbeheer is in grote lijnen gelijk aan die van het hoger onderwijs.

Wat betekent dit voor toegangsbeheer?

De zorgplicht uit de Cyberbeveiligingswet en de normen uit SURFaudit komen op het vlak van IAM op hetzelfde neer. Je moet kunnen aantonen dat je:

• sterke authenticatie toepast, zoals meervoudige verificatie

• toegang beperkt volgens least privilege

• accounts automatisch aanmaakt, aanpast en intrekt bij personeelswijzigingen

• toegang en wijzigingen logt voor audits en incidentrespons

Toegangsbeheer is daarmee geen bijzaak, maar een van de plekken waar deze kaders het meest concreet worden.

Hoe schaal je IAM in een grote, complexe instelling?

Een universiteit of hogeschool heeft duizenden medewerkers, veel faculteiten en een enorme verscheidenheid aan systemen. Een orchestratielaag boven Microsoft Entra ID of Google Workspace, gevoed door het personeelssysteem, brengt daar structuur in:

1. Provisioning vanuit HR zorgt dat accounts automatisch ontstaan, meebewegen en weer worden ingetrokken.

2. Rolgebaseerde toegang per functie, faculteit en afdeling houdt rechten verklaarbaar en beperkt.

3. Koppelingen via SCIM brengen applicaties onder hetzelfde toegangsbeheer, zonder losse silo's.

4. Logging en rapportage leveren het bewijs dat SURFaudit en de Cyberbeveiligingswet vragen.

Veelgestelde vragen

Valt mijn instelling onder de Cyberbeveiligingswet? Hbo en wo zijn aangewezen. Voor het mbo loopt nog overleg. Ook als je instelling er niet onder valt, blijven de maatregelen waardevol en sluiten ze aan op SURFaudit.

Wanneer treedt de Cyberbeveiligingswet in werking? De verwachting is in 2026, met een ingroeiperiode van ongeveer drie jaar om aan de zorgplicht te voldoen. Houd de actuele besluitvorming in de gaten.

Sluit geautomatiseerde IAM aan op SURFaudit? Ja. Geautomatiseerde provisioning, least privilege en logging dekken meerdere normen tegelijk af en maken je volwassenheidsniveau aantoonbaar.