Waarom cyberbeveiliging in het onderwijs niet kan wachten op NIS2

Scholen en universiteiten in heel Europa hebben te maken met een golf van cyberaanvallen waar klaslokalen en campussen nooit op zijn berekend. Begin 2025 hebben hackers met gestolen inloggegevens en een VPN zonder tweefactorauthenticatie vijf dagen lang ongemerkt rondgelopen op de netwerken van de Technische Universiteit Eindhoven. De lessen werden een hele week geschrapt. Het incident past in een breder patroon: het onderwijs is een belangrijk doelwit geworden en de regelgeving begint eindelijk bij te blijven. De vraag is niet langer of jouw instelling op de proef wordt gesteld, maar of ze er klaar voor is als het gebeurt.

Het onderwijs is een belangrijk doelwit geworden voor cybercriminelen

Onderwijsinstellingen beschikken over een bijzondere combinatie van activa. Tienduizenden persoonlijke dossiers, waardevolle onderzoeksgegevens, financiële systemen en toegangsgegevens die vrijelijk worden uitgewisseld tussen studenten, medewerkers en externe partners. Die concentratie aan gevoelige informatie, in combinatie met een traditioneel open IT-cultuur, is precies wat aanvallers zoeken.

In de hele EU hebben ransomwaregroepen het gemunt op universiteiten, beroepsopleidingen en zelfs basisscholen. Nederlandse instellingen vormen daarop geen uitzondering. De Universiteit Maastricht betaalde na een aanval in 2019 zo’n 197.000 euro aan losgeld, en de TU/e was het meest recente spraakmakende geval. Kleinere scholen halen zelden het nieuws, maar worden met een fractie van het beveiligingsbudget met dezelfde bedreigingen geconfronteerd.

De schade blijft zelden beperkt tot de IT. Afgelaste lessen, openbaar gemaakte studentengegevens, stilgelegd onderzoek en het moeizame proces om het vertrouwen van ouders, studenten en partners weer op te bouwen. Tegen de tijd dat de systemen weer werken, zijn de financiële en reputatieschade al een feit.

NIS2 trekt een grens, maar niet rond elke instelling

De Europese NIS2-richtlijn verplicht grote delen van de publieke en private sector om hun cyberbeveiliging aantoonbaar te verbeteren. Het hoger onderwijs valt hieronder via de onderzoekssector, dus de meeste universiteiten en veel hogescholen vallen hieronder. Basisscholen, middelbare scholen en beroepsopleidingen vallen hier meestal niet onder, hoewel nationale overheden ze wel als kritieke entiteiten kunnen aanmerken.

Als je precies wilt weten hoe je instelling ervoor staat, heeft Guardey een uitgebreide NIS2-gids voor het onderwijs gepubliceerd waarin de drempels, verplichtingen en grijze gebieden worden uitgelegd. Daarin wordt ook uitgelegd hoe gemengde organisaties en banden in de toeleveringsketen ervoor kunnen zorgen dat ook niet-geregistreerde scholen stilletjes onder de regeling vallen.

Maar hier is het punt met NIS2: zelfs als jouw instelling formeel niet onder de richtlijn valt, gelden de bedreigingen waar de richtlijn op inspeelt toch voor jou. Dat je buiten de richtlijn valt, betekent niet dat je niet op de lijst van doelwitten van de aanvallers staat.

Waarom bewustwording op het gebied van beveiliging het moeilijkste onderdeel is

De meeste succesvolle aanvallen op onderwijsinstellingen breken de versleuteling niet. Ze komen gewoon via de voordeur binnen via een phishing-mail, een hergebruikt wachtwoord of een ontbrekende vraag voor tweefactorauthenticatie. Het incident bij de TU/e begon met gestolen inloggegevens. De ransomware-aanval in Maastricht begon met een phishing-bericht waarop een medewerker klikte.

Technische maatregelen helpen, maar ze werken alleen als de mensen die ermee werken weten wat ze doen. Een VPN beschermt verbindingen; het voorkomt niet dat iemand zijn inloggegevens via de telefoon doorgeeft. Meervoudige authenticatie voorkomt diefstal van inloggegevens; het helpt niet als medewerkers pushmeldingen goedkeuren zonder te controleren wat ze precies goedkeuren.

Daarom hoort security awareness training centraal te staan in elk cybersecurityprogramma voor het onderwijs, en niet in een jaarlijkse compliance-presentatie. Het herkennen van phishing, veilig omgaan met data en weten wat te doen als iets verdacht lijkt, zijn vaardigheden die geoefend moeten worden. NIS2 vereist dit expliciet voor instellingen die onder de richtlijn vallen. Elke andere school zou dit sowieso moeten doen.

Digitale veerkracht opbouwen op scholen en universiteiten

Een solide basis voor elke onderwijsinstelling ziet er in grote lijnen hetzelfde uit. Meervoudige authenticatie voor elk account dat toegang heeft tot gegevens van studenten of medewerkers. Versleutelde verbindingen voor medewerkers en onderzoekers die op afstand of via openbare netwerken werken, waarbij een VPN zoals GOOSE VPN het verkeer kan beveiligen tegen onderschepping. Een gedocumenteerde procedure voor incidentafhandeling, zodat een ransomware-waarschuwing om 3 uur ’s nachts het IT-team niet lamlegt.

De beveiliging van leveranciers is een aspect dat vaak over het hoofd wordt gezien. Scholen zijn sterk afhankelijk van leerlinginformatiesystemen, leerplatforms en aanbieders van cloudopslag. Als er bij een van die leveranciers een inbreuk plaatsvindt, draai jij daar de dupe van. Het controleren van contracten en beveiligingsverplichtingen van leveranciers hoort bij een degelijk cyberbeveiligingsprogramma, of NIS2 dat nu verplicht stelt of niet.

Dit is allemaal niet zo bijzonder. Het meeste hiervan is wat goed geleide organisaties in andere sectoren al jaren doen. Het verschil is dat er nu van het onderwijs wordt verwacht dat het op hetzelfde beveiligingsniveau functioneert, vaak met de extra uitdaging van open academische omgevingen en krappe budgetten.

Of je instelling nu onder NIS2 valt of niet, de koers is dezelfde. Aanvallers zien scholen en universiteiten als makkelijke doelwitten met waardevolle gegevens. Regelgevers verscherpen de regels rond de beveiliging van die gegevens, en verzekeraars zullen volgen. De instellingen die nu investeren in bewustwording, beveiligingsmaatregelen en een veilige cultuur, zullen niet alleen aan de regels voldoen als het zover is. Zij zijn degenen die niet in het nieuws komen.