8 april 2026 • NIS2
Scholen en onderwijsinstellingen worden steeds vaker het doelwit van cybercriminelen. Begin 2025 hadden hackers vijf dagen lang toegang tot de IT-systemen van de Technische Universiteit Eindhoven (TU/e), door gebruik te maken van gestolen credentials en een VPN zonder two-factor authentication. De lessen werden een hele week geannuleerd. Tegelijkertijd verplicht NIS2 onderwijs instellingen in Europa tot aantoonbaar betere digitale beveiliging. Maar welke instellingen vallen eronder, en wat moeten ze precies doen? Dit artikel legt het uit.
Valt onderwijs onder NIS2?
NIS2 is van toepassing wanneer een organisatie aan twee voorwaarden tegelijk voldoet: ze moet actief zijn in een aangewezen sector (bijlage I of II van de richtlijn) en de omvangdrempels overschrijden. Omvang alleen is niet voldoende; de sectorindeling is de belangrijkste voorwaarde.
De NIS2-richtlijn beschouwt het hoger onderwijs als onderdeel van de onderzoekssector (bijlage II). Universiteiten en hogescholen die onderzoek doen, kunnen daarom worden aangemerkt als belangrijke entiteiten. Het voortgezet en basisonderwijs staan niet in de bijlagen vermeld en vallen dus niet automatisch onder NIS2, ongeacht hun omvang.
Dat gezegd hebbende, is het niet zo simpel als “grote beroepsopleidingsinstellingen zijn altijd vrijgesteld”. Er zijn drie situaties waarin instellingen voor het voortgezet en basisonderwijs toch te maken kunnen krijgen met deze maatregel.
Welke onderwijsinstellingen vallen (mogelijk) onder NIS2?
| Soort instelling | NIS2-status | Opmerkingen |
|---|---|---|
| Universiteiten | Waarschijnlijk een belangrijke entiteit | Zoek op functie + grootte; voldoe aan beide voorwaarden |
| Hogescholen | Mogelijk belangrijke entiteit | Dat hangt af van de omvang en de onderzoeksactiviteiten |
| MBO-instellingen | Valt niet automatisch onder het toepassingsgebied | Sector niet gespecificeerd; een nationale classificatie of gemengde structuur kan hier verandering in brengen |
| Voortgezet onderwijs | Valt niet automatisch onder het toepassingsgebied | Sector niet aangewezen; grote schoolgroepen kunnen via een nationale aanwijzing of een gemengde structuur onder NIS2 vallen |
| Basisonderwijs | Valt niet automatisch onder het toepassingsgebied | Sector niet gespecificeerd; indirecte vereisten via partners mogelijk |
Omvangdrempels: NIS2 geldt voor organisaties met meer dan 50 werknemers of een jaaromzet/balanstotaal van meer dan € 10 miljoen. Maar de omvang alleen is niet voldoende om een organisatie onder de regeling te laten vallen — de sectorindeling is altijd de eerste vereiste.
Wanneer vallen middelbare en basisscholen eigenlijk onder NIS2?
"Valt niet automatisch onder het toepassingsgebied" betekent niet "niet relevant". Er zijn drie situaties waarin instellingen voor basis- en voortgezet onderwijs wel degelijk met NIS2 te maken krijgen:
1. Nationale aanduiding
Lidstaten mogen organisaties aanwijzen als kritieke entiteiten die niet in de Europese bijlagen staan. De Nederlandse regering kan besluiten dat grote schoolgroepen met een belangrijke maatschappelijke rol onder de Wet cyberveiligheid vallen. Vooral heel grote besturen die toezicht houden op tientallen scholen en duizenden medewerkers lopen hier het risico op.
2. Gemengde organisaties
Veel onderwijsinstellingen bieden zowel middelbaar als beroepsonderwijs aan, of zijn aangesloten bij een hogeschool. Als het beroeps- of hogeronderwijsgedeelte groot genoeg is en onderzoeksactiviteiten uitvoert, kan dat deel onder NIS2 vallen. In de praktijk betekent dit dat de beveiligingseisen voor de hele organisatie gelden.
3. Indirecte eisen via de toeleveringsketen
Organisaties die onder NIS2 vallen, moeten hun toeleveringsketen beveiligen. Als een schoolorganisatie software levert, gegevens deelt of samenwerkt met instellingen die aan NIS2 moeten voldoen, kunnen die partners beveiligingseisen doorgeven. Ook subsidieverstrekkers en overheidsopdrachtgevers stellen dit soort eisen steeds vaker.
Wat zijn de verplichtingen voor onderwijsinstellingen?
Als een onderwijsinstelling onder NIS2 valt, gelden dezelfde basisverplichtingen als voor andere sectoren. De belangrijkste daarvan voor de onderwijssector zijn:
Risicoanalyse en beveiligingsbeleid
Je moet de risico’s voor je netwerken, systemen en gegevens systematisch in kaart brengen, inclusief systemen die door leveranciers worden gebruikt, zoals SIS-aanbieders, clouddiensten voor leerplatforms en samenwerkingstools.
Verplichting tot het melden van incidenten
Belangrijke incidenten, zoals ransomware-aanvallen op studentenadministratiesystemen of datalekken waarbij persoonlijke gegevens van studenten betrokken zijn, moeten binnen 24 uur aan de bevoegde autoriteit worden gemeld.
Beveiliging van de toeleveringsketen
Software- en dienstverleners moeten aantoonbaar aan je beveiligingseisen voldoen. Denk bijvoorbeeld aan aanbieders van leerplatforms, studenteninformatiesystemen of cloudopslag.
Toegangsbeheer en authenticatie
Meervoudige authenticatie is verplicht voor toegang tot systemen met gevoelige gegevens. In het onderwijs geldt dit zeker voor medewerkers die toegang hebben tot studentendossiers, financiële systemen en onderzoeksgegevens. De aanval op de TU Eindhoven in januari 2025 laat zien wat er misgaat als je geen MFA gebruikt: hackers wisten via een VPN zonder tweestapsverificatie binnen te komen en hadden vijf dagen lang ongemerkt toegang.
Security awareness training voor personeel
NIS2 schrijft expliciet voor dat instellingen hun personeel moeten opleiden op het gebied van cyberbeveiliging. Dit geldt niet alleen voor IT-medewerkers, maar ook voor docenten, onderzoekers en ondersteunend personeel: iedereen die toegang heeft tot systemen en gegevens.
Waarom cyberbeveiliging in het onderwijs extra aandacht verdient
Onderwijsinstellingen zijn aantrekkelijke doelwitten voor cybercriminelen vanwege de combinatie van waardevolle onderzoeksgegevens, grote hoeveelheden persoonsgegevens en een relatief open IT-cultuur. Enkele specifieke uitdagingen:
- Grote gebruikersgroepen — tienduizenden studenten en medewerkers met verschillende toegangsrechten.
- Grote doorstroom — elk jaar schrijven er studenten in en studeren er af; de administratie moet actief worden bijgehouden.
- Een open netwerkcultuur — academische vrijheid botst soms met strenge veiligheidsmaatregelen.
- Beperkte IT-budgetten — vooral bij kleinere instellingen is er weinig ruimte voor investeringen in beveiliging.
- Waardevolle onderzoeksgegevens — intellectueel eigendom en onderzoeksresultaten zijn interessant voor overheidsinstanties.
Hoe Guardey onderwijsinstellingen helpt
Guardey biedt Security Awareness Training met content die is afgestemd op de onderwijssector. Medewerkers leren phishing te herkennen, veilig om te gaan met data en weten wat ze moeten doen als ze iets verdachts opmerken. Dit alles in korte, behapbare modules die passen in een drukke werkweek.
Door hun personeel regelmatig te trainen, voldoen onderwijsinstellingen aan de NIS2-bewustmakingsverplichting en bouwen ze tegelijkertijd aan een instelling die minder kwetsbaar is voor de aanvallen waarmee de sector dagelijks te maken heeft.
Wil je precies weten wat NIS2 voor jouw instelling betekent? Bekijk dan de NIS2-gids voor 2026 met alle verplichtingen, drempels en een praktische checklist.
Niet elke onderwijsinstelling valt formeel onder NIS2, maar de grens is minder duidelijk dan het lijkt. Universiteiten en grote hogescholen vallen in de meeste gevallen onder NIS2. Voor het beroepsonderwijs, het voortgezet onderwijs en het basisonderwijs hangt het af van de nationale aanwijzing, de organisatiestructuur en de partners waarmee ze samenwerken.
Begin met een duidelijke afbakening van het toepassingsgebied, voer een risicoanalyse uit en zorg ervoor dat het personeel aantoonbaar is opgeleid. Dat zijn de stappen die rechtstreeks tegemoetkomen aan de meeste NIS2-verplichtingen en die laten zien dat je als instelling cyberbeveiliging serieus neemt.
Security awareness training: nuttig zelfs zonder NIS2
NIS2 is misschien niet van toepassing op elke onderwijsinstelling, maar de dreigingen die het aanpakt, zijn wel relevant. Security awareness training helpt je collega's cyberaanvallen te herkennen en erop te reageren, onafhankelijk van de compliance-vereisten.
Guardey voor het onderwijs
Guardey heeft speciale trainingsmodules ontwikkeld voor onderwijspersoneel. Download de brochure of ontdek hoe een op maat gemaakt programma er voor jouw instelling uitziet.
Guardey voor het onderwijs