Bestuurlijke verantwoordelijkheid en opleidingsplicht voor bestuurders | Nationaal Coördinator Terrorismebestrijding en Veiligheid

Onder de Cyberbeveiligingswet wordt cyberbeveiliging niet langer gezien als een technische kwestie, maar als een onderwerp voor de gehele organisatie. Het bestuur is verantwoordelijk voor het beleid en de naleving van de wet. Daarom moeten bestuurders onder andere:

Aantoonbare kennis en vaardigheden hebben over risico's voor netwerk- en informatiesystemen, risicobeheersing en de impact van risico's op de organisatie;
Inzicht hebben in de risico’s en daarvoor passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen;
Regelmatig spreken met de eigen chief information security officer (CISO) over cyberbeveiliging.

Opleiding voor de bestuurders

Organisaties die onder de Cyberbeveiligingswet zijn verplicht om hun bestuursleden een opleiding te laten volgen over cyberbeveiliging. De opleiding moet bestuursleden in staat stellen om het proces voor het identificeren van risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen begrijpen én de maatregelen inclusief gevolgen te beoordelen. Om zo tot een goede afweging en afgewogen besluitvorming rondom de beveiliging van netwerk- en informatiesystemen te komen. De CISO ondersteunt het bestuur, maar kan en mag de formele eindverantwoordelijkheid niet overnemen.

Onderwerpen opleiding

Tijdens de opleiding voor bestuurders dienen de volgende onderwerpen te worden behandeld:

Kennis over de verschillende soorten risico’s nodig die spelen bij netwerk- en informatiesystemen (zoals malware, insider threats of DDoS-aanvallen).
Inzicht in de mogelijke gevolgen van deze risico’s.
Inzicht in hoe het risicomanagementproces en de bijbehorende methodiek in elkaar zit binnen de organisatie.

Kennis en vaardigheden om risicobeheersmaatregelen op het gebied van cyberbeveiliging en de gevolgen van die maatregelen te kunnen beoordelen. Het doel is om bestuursleden goed te kunnen laten meedenken op strategisch niveau.

Bestuurders moeten voldoende kennis hebben om de risico's van informatiebeveiliging te kunnen beoordelen en om het gesprek aan te gaan met de medewerkers die hierover gaan. Ook is het nodig dat het bestuur een cultuur ontwikkelt waarin het belang van informatiebeveiliging binnen de organisatie wordt erkend, en die medewerkers stimuleert om het informatiebeveiligingsbeleid na te leven.

Termijnen en verplichtingen

Bestuursleden moeten binnen twee jaar na inwerkingtreding van de Cyberbeveiligingswet, de juiste kennis en vaardigheden hebben én hun kennis en vaardigheden daarna aantoonbaar up-to-date houden.

Certificaat na afloop

Na afloop van de opleiding ontvangen deelnemers een certificaat. Hierin moet duidelijk staan dat de opleiding is gevolgd en welke onderwerpen zijn behandeld. In het Cyberbeveiligingsbesluit wordt vastgelegd welke eisen hier precies aan worden gesteld. Het certificaat moet zijn opgesteld in het Nederlands of Engels. De opleiding zelf mag eventueel in een andere taal worden gegeven.

Wie vallen onder deze verplichting?

De regels gelden alleen voor uitvoerende bestuurders. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders zijn een uitzondering op deze verplichting.
Als een rechtspersoon bestuurslid is van een essentiële of belangrijke organisatie, gelden de verplichtingen voor de natuurlijke personen die namens die rechtspersoon in het bestuur zitten.

Altijd eindverantwoordelijk

Het bestuur moet nadenken over de verdeling van verantwoordelijkheden binnen de organisatie. Aandachtspunt hierbij is dat het bestuur altijd eindverantwoordelijkheid blijft voor cyberbeveiliging. Ook als taken gedelegeerd zijn aan bijvoorbeeld een CISO. In dit geval moet het bestuur zich actief laten informeren en betrokken zijn bij de belangrijkste vraagstukken en risico’s. Dit vraagt om onderlinge afstemming: samen binnen het bestuur bepalen hoe men op de hoogte blijft en welke rapportages en/of signalen men wil ontvangen. Een organisatie moet maatregelen nemen in verband met de zorgplicht. Ook deze maatregelen moet het bestuur goedkeuren.

Lees meer

Bekijk de Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren | Cyber Security Raad.

Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.

Een CISO vindt handige tips over het voeren van een gesprek met het bestuur in de Handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel '.

Een bestuurder zou zich moeten verdiepen in het werk van de CISO en de beveiligingsrisico’s. De vragentoolkit op NCSC.nl kan het bestuur ondersteunen bij het voeren van een gesprek over cyberbeveiliging.