Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders | Nationaal Coördinator Terrorismebestrijding en Veiligheid

Onder de Cyberbeveiligingswet wordt cyberbeveiliging niet langer gezien als een technische kwestie, maar als een onderwerp voor de gehele organisatie. Het bestuur is verantwoordelijk voor het beleid en de naleving van de wet. Daarom moeten bestuurders onder andere:

Aantoonbare kennis en vaardigheden hebben over risico's voor netwerk- en informatiesystemen, risicobeheersing en de impact van risico's op de organisatie;
Inzicht hebben in de risico’s en daarvoor passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen;
Regelmatig spreken met de eigen chief information security officer (CISO) over cyberbeveiliging.

Training voor de bestuurders

Organisaties die onder de Cyberbeveiligingswet zijn verplicht om hun bestuursleden een training te laten volgen over cyberbeveiliging. De training moet bestuursleden in staat stellen om het proces voor het identificeren van risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen begrijpen én de maatregelen inclusief gevolgen te beoordelen. Om zo tot een goede afweging en afgewogen besluitvorming rondom de beveiliging van netwerk- en informatiesystemen te komen. De CISO ondersteunt het bestuur, maar kan en mag de formele eindverantwoordelijkheid niet overnemen.

Onderwerpen training

Tijdens de training voor bestuurders dienen de volgende onderwerpen te worden behandeld:

Kennis over de verschillende soorten risico’s nodig die spelen bij netwerk- en informatiesystemen (zoals malware, insider threats of DDoS-aanvallen).
Inzicht in de mogelijke gevolgen van deze risico’s.
Inzicht in hoe het risicomanagementproces en de bijbehorende methodiek in elkaar zit binnen de organisatie.

Kennis en vaardigheden om risicobeheersmaatregelen op het gebied van cyberbeveiliging en de gevolgen van die maatregelen te kunnen beoordelen. Het doel is om bestuursleden goed te kunnen laten meedenken op strategisch niveau.

Bestuurders moeten voldoende kennis hebben om de risico's van informatiebeveiliging te kunnen beoordelen en om het gesprek aan te gaan met de medewerkers die hierover gaan. Ook is het nodig dat het bestuur een cultuur ontwikkelt waarin het belang van informatiebeveiliging binnen de organisatie wordt erkend, en die medewerkers stimuleert om het informatiebeveiligingsbeleid na te leven.

Termijnen en verplichtingen

Bestuursleden moeten binnen twee jaar na inwerkingtreding van de Cyberbeveiligingswet, de juiste kennis en vaardigheden hebben én hun kennis en vaardigheden daarna aantoonbaar up-to-date houden.

Certificaat

Na afloop van de training ontvangen deelnemers een certificaat. Hierin moet duidelijk staan dat de training is gevolgd en welke onderwerpen zijn behandeld. In het Cyberbeveiligingsbesluit wordt vastgelegd welke eisen hier precies aan worden gesteld. Het certificaat moet zijn opgesteld in het Nederlands of Engels. De training zelf mag eventueel in een andere taal worden gegeven.

Vanuit de Rijksoverheid wordt niet verwezen naar een specifieke training of instituut. Er is wel al een breed aanbod van advies- en consultancyorganisaties in de cyberbeveiligingssector die een dergelijke training kunnen aanbieden. Daarnaast kunnen organisaties ook zelf intern een geschikte training verzorgen, door bijvoorbeeld een CISO.

Wie vallen onder deze verplichting?

De regels gelden alleen voor uitvoerende bestuurders. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders zijn een uitzondering op deze verplichting.
Als een rechtspersoon bestuurslid is van een essentiële of belangrijke organisatie, gelden de verplichtingen voor de natuurlijke personen die namens die rechtspersoon in het bestuur zitten.

Altijd eindverantwoordelijk

Het bestuur moet nadenken over de verdeling van verantwoordelijkheden binnen de organisatie. Aandachtspunt hierbij is dat het bestuur altijd eindverantwoordelijkheid blijft voor cyberbeveiliging. Ook als taken gedelegeerd zijn aan bijvoorbeeld een CISO. In dit geval moet het bestuur zich actief laten informeren en betrokken zijn bij de belangrijkste vraagstukken en risico’s. Dit vraagt om onderlinge afstemming: samen binnen het bestuur bepalen hoe men op de hoogte blijft en welke rapportages en/of signalen men wil ontvangen. Een organisatie moet maatregelen nemen in verband met de zorgplicht. Ook deze maatregelen moet het bestuur goedkeuren.

Lees meer

Bekijk de Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren | Cyber Security Raad.

Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.

Een CISO vindt handige tips over het voeren van een gesprek met het bestuur in de Handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel '.

Een bestuurder zou zich moeten verdiepen in het werk van de CISO en de beveiligingsrisico’s. De vragentoolkit op NCSC.nl kan het bestuur ondersteunen bij het voeren van een gesprek over cyberbeveiliging.