Normenkader IBP of Cyberbeveiligingswet: wat is het verschil?

Marcel van Beek

4 min read

Wat is het Normenkader IBP?

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP) is ontwikkeld door OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad. Het is geen wet, maar de beleidsmatige norm waarmee scholen invulling geven aan hun wettelijke verplichtingen, onder meer uit de AVG.

Kort samengevat:

  • Het geldt voor het primair en voortgezet onderwijs.

  • Het telt 69 normen voor informatiebeveiliging en 25 voor privacy, in 15 domeinen, waaronder toegangsbeheer.

  • Vanaf 1 januari 2027 is een zelfevaluatie met plan van aanpak verplicht; uiterlijk 1 januari 2030 moet alles op volwassenheidsniveau 3 staan, met toezicht vanuit OCW.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet is de Nederlandse omzetting van de Europese richtlijn NIS2 en vervangt de oudere Wet beveiliging netwerk en informatiesystemen. Dit is wetgeving, met verplichtingen en toezicht.

Kort samengevat:

  • De minister heeft besloten dat hbo en wo eronder vallen.

  • De wet bevat tien zorgplichtmaatregelen en een meldplicht bij significante incidenten.

  • De verwachte inwerkingtreding is in 2026, met een ingroeiperiode van ongeveer drie jaar.

  • Het mbo is niet automatisch aangewezen en blijft hierover in overleg met OCW.

Welke geldt voor wie, en waar overlappen ze?

De doelgroepen verschillen: het Normenkader IBP is er voor het funderend onderwijs (po en vo), de Cyberbeveiligingswet voor het hoger onderwijs (hbo en wo). Het mbo gebruikt voor informatiebeveiliging het toetsingskader van SURFaudit en valt vooralsnog niet automatisch onder de wet.

Het belangrijkste raakvlak is de inhoud. Beide kaders vragen op het gebied van toegangsbeheer in essentie hetzelfde: sterke authenticatie, least privilege, geautomatiseerd beheer van de levenscyclus van accounts en aantoonbare logging. Wie dit goed regelt, werkt tegelijk aan beide.

Veelgestelde vragen

Is het Normenkader IBP een wet? Nee. Het is de afgesproken norm voor de sector. De Cyberbeveiligingswet is wel echte wetgeving.

Geldt de Cyberbeveiligingswet voor het primair onderwijs? Nee. Het funderend onderwijs werkt met het Normenkader IBP. De wet richt zich op aangewezen sectoren zoals het hoger onderwijs.

Moet ik twee keer werk doen voor beide kaders? Op het gebied van toegangsbeheer niet. De maatregelen overlappen sterk, dus één goed ingericht IAM-proces telt voor beide mee.

Bekijk meer van onze blogs

Insights Image

De zelfevaluatie van het Normenkader IBP voorbereiden (vóór 2027)

Insights Image

De zelfevaluatie van het Normenkader IBP voorbereiden (vóór 2027)

Insights Image

Volwassenheidsniveau 3 bereiken voor toegangsbeheer

Insights Image

Volwassenheidsniveau 3 bereiken voor toegangsbeheer

Insights Image

Je personeelssysteem koppelen aan Microsoft 365 of Entra ID: AFAS, Visma of HR2day

Insights Image

Je personeelssysteem koppelen aan Microsoft 365 of Entra ID: AFAS, Visma of HR2day

Kijken kost niets

Plan een vrijblijvende demo

In 30 minuten laat we je graag zien hoe Joinly toegevoegde waarde biedt voor de gehele organisatie.

Demo inplannen

Kijken kost niets

Plan een vrijblijvende demo

In 30 minuten laat we je graag zien hoe Joinly toegevoegde waarde biedt voor de gehele organisatie.

Demo inplannen

Kijken kost niets

Plan een vrijblijvende demo

In 30 minuten laat we je graag zien hoe Joinly toegevoegde waarde biedt voor de gehele organisatie.

Demo inplannen