Security awareness voor het onderwijs — elk normenkader, één platform

Onderwijssoort bepaalt het toepasselijke kader

Het Nederlandse onderwijs kent drie hoofdsegmenten met elk een eigen toezichtsregime voor informatiebeveiliging. Welk kader voor uw instelling geldt, hangt af van het onderwijstype.

Het hele hoger onderwijs — zowel hogescholen (HBO) als universiteiten (WO) — valt onder de Cyberbeveiligingswet (Cbw, de Nederlandse implementatie van de NIS2-richtlijn). Dat is een nationale wet die direct bindend is voor instellingen, met een zorgplicht voor netwerk- en informatiesystemen (art. 21) en een aparte bestuurstrainingsplicht voor het CvB en de RvT (art. 24).

MBO-instellingen werken met het Normenkader Informatiebeveiliging MBO, beheerd door saMBO-ICT en MBO Digitaal. Dit kader benchmarkt jaarlijks alle MBO-instellingen op volwassenheid en awareness en is een sector-specifieke vertaling van ISO 27001/27002. Sommige MBO-instellingen die ook hbo-onderwijs verzorgen of substantieel onderzoek doen, kunnen daarnaast onder de Cbw vallen.

Het funderend onderwijs (PO, VO, SO) hanteert het Normenkader IBP voor het Funderend Onderwijs (IBP-FO), beheerd door Kennisnet en SIVON. Dit is verplicht voor alle PO-, VO- en SO-scholen en wezenlijk anders dan het MBO IBP-kader — verwarring tussen deze "IBP's" gebeurt vaak.

Hoger onderwijs (HBO en WO): Cyberbeveiligingswet

Het volledige hoger onderwijs valt onder de Cbw. Universiteiten zijn aangewezen als essentiële entiteit, hogescholen als belangrijke entiteit. Voor wat awareness betreft is het verschil in regime klein: beide moeten aantoonbaar voldoen aan de zorgplicht (Cbw / NIS2 art. 21) en de bestuurstrainingsplicht (Cbw / NIS2 art. 24).

De zorgplicht uit Cbw / NIS2 art. 21 vereist gestructureerde awareness en cyberhygiëne als organisatorische maatregel. Cbw / NIS2 art. 24 verplicht bestuurders (CvB en RvT) om aantoonbaar cybersecurity-training te volgen — bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij verwijtbare nalatigheid.

2LRN4 levert per CvB-lid en per medewerker bewijsvoering die direct bruikbaar is voor Cbw-toezicht. Het platform integreert via SURFconext voor SSO en sluit ook aan op de SURFaudit-volwassenheidstoetsing — zo gebruikt u één platform voor zowel de Cbw-bewijsvoering als de bredere SURF-volwassenheidstoetsing voor het hoger onderwijs.

MBO: Normenkader IB MBO van saMBO-ICT

MBO-instellingen werken met een eigen normenkader, het Normenkader Informatiebeveiliging MBO van saMBO-ICT en MBO Digitaal. Dit kader is sector-specifiek en bevat eisen voor awareness, periodieke training en bestuurlijke verantwoordelijkheid. Jaarlijks worden MBO-instellingen via de MBO IBP-Benchmark vergeleken op volwassenheid.

2LRN4 levert een MBO-track die past bij de structuur van Colleges en de doelgroepen binnen een MBO-instelling: docenten, instructeurs, BPV-coördinatoren, ondersteunend personeel en CvB. Rapportage is direct exporteerbaar voor de MBO IBP-Benchmark.

MBO-instellingen die ook hbo-onderwijs aanbieden of substantieel onderzoek doen, kunnen aanvullend onder de Cbw vallen — laat dit per instelling beoordelen en gebruik 2LRN4's multi-tenant rapportage om beide kaders parallel te beheren.

Funderend onderwijs (PO/VO/SO): IBP-FO van Kennisnet/SIVON

Voor het funderend onderwijs geldt het Normenkader IBP voor het Funderend Onderwijs (IBP-FO), opgesteld door Kennisnet en SIVON. Dit is verplicht voor alle PO-, VO- en SO-scholen. Awareness is een eis op het niveau van schoolbestuur, schoolleider, docenten en ondersteuning — vergelijkbaar met BIO maar bondiger en specifiek geënt op leerlinggegevens.

Op funderend onderwijs is de doelgroep "leerling" een aparte categorie persoonsgegevens (bijzondere gegevens onder 16 jaar). 2LRN4 levert content voor schoolpersoneel met scenario's rond ouder-/voogd-impersonation, leerlingadministratie-fraude en datalekken in leerlingvolgsystemen.

Eén platform, drie rapportageprofielen

In de praktijk werken veel onderwijskoepels aan meerdere onderwijssoorten tegelijk. Een ROC kan VAVO en MBO combineren; een onderwijscoöperatie kan PO en VO bestrijken; een hogeschool kan ook MBO-trajecten verzorgen. 2LRN4 ondersteunt multi-tenant rapportage zodat één instelling per onderdeel het juiste normenkader (Cbw, MBO IB of IBP-FO) en de juiste auditrapportage genereert — zonder dubbele administratie.

Hoe deze oplossing past in een breder awarenessprogramma

De meeste organisaties lossen dit onderwerp niet op met één losse actie. Ze hebben een combinatie nodig van duidelijke content, gerichte opvolging, segmentatie en rapportage die ook intern uitlegbaar is.

Daarom verbindt 2LRN4 deze oplossing aan de rest van het platform, de kennisbank en managementrapportage. Zo blijft dit geen losse pagina, maar onderdeel van een structurele aanpak.

Implementatie, adoptie en managementrapportage

Een goede oplossing wordt pas waardevol wanneer teams ermee kunnen werken. Daarom staat 2LRN4 niet alleen stil bij content of simulaties, maar ook bij inrichting, segmentatie, rapportage en adoptie. Dat maakt het makkelijker om awareness op te schalen zonder dat beheer een aparte baan wordt.

Voor management is vooral belangrijk dat resultaten uitlegbaar zijn. Welke teams verbeteren? Welke thema’s vragen extra aandacht? Hoe ondersteunt dit audit- of NIS2-doelen? Deze pagina is daarom geschreven voor zowel de gebruiker als de beslisser.

Waarom deze oplossing schaalbaar blijft

Veel awareness-initiatieven beginnen sterk en verliezen daarna tempo omdat beheer versnipperd raakt. Doelgroepen veranderen, content moet aangepast worden en rapportages kosten meer handmatig werk dan verwacht. Een schaalbare aanpak vraagt daarom niet alleen inhoud, maar ook een platform dat meebeweegt met groei en veranderende risico’s.

2LRN4 ondersteunt die schaalbaarheid door training, phishing simulatie, rapportage en interne content samen te brengen. Daardoor blijft deze pagina niet hangen in een belofte, maar verwijst zij naar een oplossing die ook operationeel vol te houden is.

FAQ

Welk normenkader geldt voor mijn onderwijsinstelling?

Hoger onderwijs (zowel HBO als WO): de Cyberbeveiligingswet (Cbw, de NL-implementatie van NIS2). Universiteiten zijn aangewezen als essentiële entiteit, hogescholen als belangrijke entiteit — beide vallen volledig onder de Cbw. MBO: het Normenkader Informatiebeveiliging MBO van saMBO-ICT en MBO Digitaal. Funderend onderwijs (PO, VO, SO): het Normenkader IBP-FO van Kennisnet en SIVON.

Vallen hogescholen ook onder de Cbw?

Ja. Hogescholen zijn onder de Cbw aangewezen als belangrijke entiteit — niet meer alleen via het oude SURF Normenkader, maar als wettelijk verplicht regime. Dat betekent zorgplicht (art. 21) en bestuurstrainingsplicht voor CvB en RvT (art. 24), met persoonlijke aansprakelijkheid voor bestuurders.

Vallen universiteiten ook onder de Cbw?

Ja. Universiteiten zijn aangewezen als essentiële entiteit onder de Cbw. Naast de zorgplicht en bestuurstraining geldt voor essentiële entiteiten een actief toezichtregime — toezichthouders kunnen onaangekondigd auditeren en boetes opleggen bij niet-naleving.

Is "IBP" hetzelfde voor alle onderwijssoorten?

Nee, dit is een veelvoorkomend misverstand. "IBP" staat voor Informatiebeveiliging en Privacy, maar het funderend onderwijs gebruikt het Normenkader IBP-FO (Kennisnet/SIVON) en het MBO heeft een eigen MBO IBP-kader (saMBO-ICT). Voor het hoger onderwijs is "IBP" geen apart normenkader meer — daar geldt de Cbw als wettelijk regime, met SURF-volwassenheidstoetsing als operationele invulling.

Hoe sluit het platform aan op het Normenkader IB MBO en de MBO IBP-Benchmark?

Het platform mapt awareness-deelname, phishing-resultaten en bestuurstraining op de control-categorieën van het Normenkader IB MBO. Rapportage is exporteerbaar in het format dat saMBO-ICT en MBO Digitaal hanteren voor de jaarlijkse MBO IBP-Benchmark.

Is het platform geschikt voor PO/VO-scholen?

Ja. Voor het funderend onderwijs is een aangepaste track beschikbaar gericht op schoolpersoneel: docenten, schoolleiders, ondersteuning en bestuur. Scenario's zijn afgestemd op de schoolcontext (ouder-impersonation, leerlingvolgsysteem, schooladministratie). Compliance is afgestemd op het Kennisnet/SIVON Normenkader IBP-FO.

Hoe gaan we om met studenten en leerlingen als doelgroep?

Studenten en leerlingen zijn geen werknemers en vallen niet onder de awareness-vereisten voor personeel binnen de normenkaders. Het platform focust op personeel (docenten, onderzoekers, ondersteunend, bestuur). Voor onboarding-awareness van studenten of voorlichting aan leerlingen is een aparte light-versie beschikbaar.

Werkt het platform met SURFconext en federatieve identity?

Ja. Het platform integreert via SAML 2.0 met SURFconext voor SSO bij hogeronderwijsinstellingen. Voor MBO en funderend onderwijs zijn ook directe integraties met Microsoft Entra/AD, Google Workspace en Kennisnet Federatie beschikbaar.

Kunnen we meerdere onderwijssoorten in één platform beheren?

Ja. Onderwijskoepels die meerdere sectoren bestrijken (bijv. PO + VO, of VAVO + MBO, of HBO + MBO) gebruiken multi-tenant rapportage. Per onderdeel het juiste normenkader, de juiste content en de juiste auditrapportage — beheerd vanuit één platform.