Onder de Cyberbeveiligingswet is cyberbeveiliging een verantwoordelijkheid van het bestuur. Bestuurders moeten inzicht hebben in de cyberrisco’s voor hun organisatie en passende maatregelen nemen om de digitale weerbaarheid te waarborgen.
Bestuurders moeten onder andere:
- aantoonbare kennis en vaardigheden hebben over risico's voor netwerk- en informatiesystemen, risicobeheersing en de impact van risico's op de organisatie;
- inzicht hebben in de risico’s voor netwerk- en informatiesystemen en daarvoor passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen;
- regelmatig in gesprek zijn met de eigen CISO over cyberbeveiliging.
Verplichte training voor de bestuurders
Uitvoerende bestuurders van organisaties die onder de Cyberbeveiligingswet vallen, moeten een training over cyberbeveiliging volgen. Deze training helpt bestuurders om risico’s, maatregelen en mogelijke gevolgen voor de organisatie te begrijpen en hierover goed onderbouwde besluiten nemen.
De training behandelt onder meer:
- risico’s voor de beveiliging van netwerk- en informatiesystemen, zoals malware, insider threats of DDoS-aanvallen;
- mogelijke gevolgen van deze risico’s voor de organisatie;
- het proces voor het identificeren en beheersen van risico’s binnen de organisatie;
- cyberbeveiligingsmaatregelen en de gevolgen daarvan;
- de kennis en vaardigheden die nodig zijn om risico’s en maatregelen te beoordelen en hierover op bestuurlijk niveau afgewogen besluiten te nemen.
Bestuurders moeten binnen twee jaar na inwerkingtreding van de Cyberbeveiligingswet over de vereiste kennis en vaardigheden beschikken en deze vervolgens aantoonbaar actueel houden.
Certificaat
Na afloop van de training ontvangen deelnemers een certificaat. Hierop staat dat de training gevolgd is en welke onderwerpen zijn behandeld. Nadere eisen zijn vastgelegd in het Cyberbeveiligingsbesluit. Het certificaat moet zijn opgesteld in het Nederlands of Engels. De training zelf mag eventueel in een andere taal worden gegeven.
Vanuit de Rijksoverheid wordt niet verwezen naar een specifieke training of instituut. Er is wel al een breed aanbod van advies- en consultancyorganisaties in de cyberbeveiligingssector die een dergelijke training kunnen aanbieden. Daarnaast kunnen organisaties ook zelf intern een geschikte training verzorgen, door bijvoorbeeld een CISO.
Wie vallen onder deze verplichting?
De trainingsplicht geldt voor uitvoerende bestuurders van essentiële en belangrijke entiteiten. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders vallen niet onder deze verplichting.
Het bestuur blijft eindverantwoordelijk
Ook wanneer taken zijn belegd bij bijvoorbeeld een CISO, blijft het bestuur eindverantwoordelijk voor cyberbeveiliging. Het bestuur moet zich daarom actief laten informeren over risico’s, maatregelen en incidenten en betrokken zijn bij belangrijke besluiten over de digitale weerbaarheid van de organisatie. Daarnaast moet het bestuur de maatregelen goedkeuren die de organisatie neemt om te voldoen aan de zorgplicht uit de Cyberbeveiligingswet.
Lees meer
Bekijk de Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren.
Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.
Een CISO vindt handige tips over het voeren van een gesprek met het bestuur in de Handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel'.
Een bestuurder zou zich moeten verdiepen in het werk van de CISO en de beveiligingsrisico’s. De vragentoolkit op NCSC.nl kan het bestuur ondersteunen bij het voeren van een gesprek over cyberbeveiliging.
Webinar over zorgplicht en bestuurlijke verantwoordelijkheid
