In een eerdere blog gingen we in op wat het Normenkader IBP inhoudt en wat het doel ervan is. Als schoolbestuur of CISO zul je ongetwijfeld één prangende vraag hebben: hoe gaan we voldoen aan de gestelde eisen? In deze tweede blog gaan we hierop in. We vertellen je wat je wanneer voor elkaar dient te hebben en hoe je compliance het beste op kunt pakken.
Stapsgewijs naar IBP compliance: de 5 volwassenheidsniveaus
Ook al geeft het Normenkader IBP concrete handvatten voor het afdekken van cyberrisico’s, als schoolbestuur zul je zelf stapsgewijs passende maatregelen moeten vormgeven. Binnen het Normenkader IBP worden er vijf volwassenheidsniveaus gehanteerd. Op het laagste niveau (1, Ad hoc) ontbreekt een gestructureerde aanpak en zijn de maatregelen vooral reactief. Op het hoogste niveau (5, Continu verbeteren) is de aanpak op het gebied van informatiebeveiliging en privacy proactief, verloopt gestructureerd en aandacht voor de onderwerpen maken deel uit van de strategie. In 2030 worden scholen geacht ten minste volwassenheidsniveau 3 bereikt te hebben.
Deadlines voor schoolbesturen vanuit het Normenkader IBP: 2027 en 2030
Scholen hebben vanaf 2025 vijf jaar de tijd gekregen om aan de bijna 100 normen te voldoen op ten minste volwassenheidsniveau 3. Dit is drie jaar langer dan de initiatiefnemer, het ministerie van Onderwijs, Cultuur en Wetenschap, voor ogen had. Van de staatssecretaris hebben schoolbesturen extra tijd gekregen omdat zij “nog veel te doen hebben en nog niet op alle normen voldoen aan het streefniveau”.
Er zijn twee momenten of deadlines waarop schoolbesturen bepaalde doelen moeten hebben bereikt:
- Vanaf 2027: Scholen dienen te weten waar ze staan en hebben een evaluatie uitgevoerd om dit inzichtelijk te maken. Daarnaast moet er een concreet plan van aanpak zijn opgesteld om tenminste volwassenheidsniveau 3 te bereiken voor de gestelde deadline.
- 2030: scholen dienen daadwerkelijk aan de normen te voldoen op ten minste volwassenheidsniveau 3.
Normenkader IBP compliance: tips voor scholen
Als schoolbestuur of CISO zul je ongetwijfeld één prangende vraag hebben: hoe gaan we voldoen aan de gestelde eisen? Wat kun je als bestuur(der) of CISO doen om IBP-compliance te bereiken? Hieronder gaan we daarop in.
1. Pak het zo snel mogelijk op
Als het goed is, heb je als school al de nodige maatregelen op het gebied van informatiebeveiliging en privacy genomen die bijdragen aan het voldoen aan de IBP-normen. De IBP-normen die op privacy slaan, herken je bijvoorbeeld gelijk van de AVG. Bekijk waar in het geval van jouw organisatie de quick wins liggen; welke maatregelen zorgen makkelijk voor een verbeterde digitale weerbaarheid? Verkijk je niet op de eis om aan het normenkader te voldoen op volwassenheidsniveau 3. Maak een realistisch tijdspad en werk in fases toe naar concrete tussendoelen.
2. Organisatiebrede aanpak
IBP compliance bereik je als schoolbestuur door het een onderdeel van de bedrijfsvoering te maken. IBP en cyberrisico’s zouden letterlijk een agendapunt moeten zijn voor het bestuur, en dus niet volledig op het bordje moeten liggen bij de ICT-dienstverlener. Zet niet enkel in op maatregelen om het gewenste niveau te behalen, maar zorg ervoor dat de borging ervan ook een duidelijke positie krijgt.
3. Vastleggen van rollen en verantwoordelijkheden
Leg eigenaarschap vast. Voor elke norm van het normenkader zou duidelijk moeten zijn wie verantwoordelijkheid draagt voor de uitvoering, wie de eindverantwoordelijkheid draagt en wie er zorg draagt voor de controle.
Hulp nodig bij het voldoen aan het IBP en het cyberweerbaar maken van jouw onderwijsorganisatie? Integripro is implementatiepartner als het gaat om het normenkader. We helpen scholen daarbij ook om dit te borgen in hun organisatie, zodat ze 𝗖𝗼𝗻𝘁𝗶𝗻𝘂. 𝗖𝘆𝗯𝗲𝗿𝘄𝗲𝗲𝗿𝗯𝗮𝗮𝗿. blijven.
