Creating content
This commit is contained in:
parent
263703a6c1
commit
0cabbc383f
10 changed files with 119 additions and 73 deletions
|
|
@ -1,51 +0,0 @@
|
|||
**Reeks: Cbw-compliance in 8 stappen** _5 posts — doelgroep: directie/bestuur MKB_
|
||||
|
||||
---
|
||||
|
||||
**Post 1 — Provocatie** _"De wet maakt jou verantwoordelijk. Niet je IT-afdeling."_
|
||||
|
||||
- Opener: de Cbw is aangenomen, treedt naar verwachting 1 juli 2026 in werking
|
||||
- De kern van art. 24: elk bestuurslid moet aantoonbare kennis hebben van cybersecurityrisico's — geen delegatie mogelijk
|
||||
- Aansprakelijkheid ligt bij de directie, niet bij de IT-afdeling of de MSP
|
||||
- Geen technische kennis vereist, wél bestuurlijke verantwoordelijkheid
|
||||
- Slotvraag: weet jij wat er van jou persoonlijk verwacht wordt?
|
||||
|
||||
---
|
||||
|
||||
**Post 2 — Reframe** _"Wat de Cbw écht van je vraagt"_
|
||||
|
||||
- De wet vraagt geen perfecte beveiliging — maar aantoonbaar risicomanagement
|
||||
- Art. 21: 10 minimummaatregelen, van risicoanalyse tot MFA — maar de wet schrijft niet voor hóé
|
||||
- De beweging die de wet vraagt: van ad-hoc naar structureel, van IT-feestje naar managementproces
|
||||
- Concreet: wie in jouw organisatie neemt welke beslissing over welk risico?
|
||||
- Brug naar post 3: er zijn 8 stappen die je van hier naar daar brengen
|
||||
|
||||
---
|
||||
|
||||
**Post 3 — Stappen 1 t/m 4: de basis** _"Zonder dit geen grip"_
|
||||
|
||||
- Stap 1 — Risicoanalyse: welke processen en systemen zijn kritiek, wat kan er misgaan, hoe groot is de kans en impact? Geen IT-exercitie maar een sessie met senior medewerkers uit de hele organisatie
|
||||
- Stap 2 — Gap-analyse: leg de uitkomst naast de 10 minimummaatregelen van art. 21 — wat is er al, wat ontbreekt, wat heeft prioriteit? De 10 maatregelen kort benoemen als toetssteen: risicoanalyse, incidentresponse, BCM, leveranciersketen, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne & opleiding, cryptografie, personeels- en toegangsbeheer, MFA & beveiligde communicatie
|
||||
- Stap 3 — BCM actualiseren: voeg cyberscenario's toe aan je bedrijfscontinuïteitsplan. Ransomware, uitval van een kritische leverancier — wat doe je dan?
|
||||
- Stap 4 — Incident response: een kort, werkbaar plan voor als het misgaat. Wie doet wat, wie communiceert naar klanten, wat is de meldingsplicht?
|
||||
- Slotpunt: dit is geen eenmalig project maar het fundament waarop de rest rust
|
||||
|
||||
---
|
||||
|
||||
**Post 4 — Stappen 5 t/m 8: zichtbaar en aantoonbaar** _"Compliance is pas echt als je het kunt bewijzen"_
|
||||
|
||||
- Stap 5 — Leveranciersmanagement: ketenverantwoordelijkheid is een wettelijke verplichting. Ken het risicoprofiel van je leveranciers, wat hebben ze toegang tot, en wat staat er in de contracten?
|
||||
- Stap 6 — Bestuurstraining: art. 24 verplicht elk bestuurslid tot aantoonbare kennis. Geen excuus, geen delegatie — en de deadline loopt
|
||||
- Stap 7 — Beveiligingsprofiel voor klanten: voorkom dat je elk kwartaal een andere vragenlijst invult. Eén standaarddocument dat laat zien dat je het op orde hebt
|
||||
- Stap 8 — Borging: eigenaren benoemen, reviews inplannen, PDCA inrichten. De wet eist aantoonbare processen, geen eenmalige sprint
|
||||
- Slotpunt: stappen 5 t/m 8 zijn wat je zichtbaar maakt naar buiten — en wat toezichthouders en klanten beoordelen
|
||||
|
||||
---
|
||||
|
||||
**Post 5 — Afsluiting** _"Waar sta jij?"_
|
||||
|
||||
- Niet iedereen begint op nulpunt — sommige stappen zijn misschien al gezet
|
||||
- Maar bijna elke organisatie heeft blinde vlekken, juist omdat security tot nu toe bij IT lag
|
||||
- Terugkoppeling aan de 10 maatregelen: hoeveel van die 10 kun jij vandaag aantoonbaar afvinken? Niet in je hoofd — op papier, voor een toezichthouder
|
||||
- De vraag is niet of je compliant bent, maar of je weet waar de gaten zitten
|
||||
- Afsluiter: "Als je wilt weten waar jouw organisatie staat, praat ik graag een uur met je."
|
||||
|
|
@ -1,6 +1,8 @@
|
|||
# Op 1 juli treedt de Cyberbeveiligingswet (Cbw) in werking.
|
||||
`posted on 21 May 2026 10:03 CEST to LinkedIn personal stream`
|
||||
|
||||
Op 1 juli treedt de Cyberbeveiligingswet (Cbw) in werking. Deze wet maakt jou persoonlijk verantwoordelijk voor informatiebeveiliging. In een paar posts leg ik uit wat dat voor jou en je organisatie betekent.
|
||||
Als bestuurder wordt jij op 1 juli 2026 persoonlijk verantwoordelijk voor informatiebeveiliging.
|
||||
|
||||
Als op 1 juli 2026 de Cyberbeveiligingswet (Cbw) in werking treedt, wordt jij persoonlijk verantwoordelijk voor informatiebeveiliging. In een paar posts leg ik uit wat dat voor jou en je organisatie betekent.
|
||||
|
||||
De Nederlandse omzettingswet van de NIS 2 regulering eist dat bestuurders persoonlijk kunnen aantonen dat de informatiebeveiliging van hun organisatie op orde is.
|
||||
|
||||
|
|
|
|||
|
|
@ -1,10 +1,10 @@
|
|||
# De Cbw vraagt om risicomanagement, niet om perfecte beveiliging
|
||||
|
||||
De Cbw vraagt om risicomanagement, niet om perfecte beveiliging.
|
||||
De Cyberbeveiligingswet vraagt om risicomanagement, niet om perfecte beveiliging.
|
||||
|
||||
Als directeur hoef je geen verstand te hebben van firewalls, software-updates en encryptie. Wel moet je weten waar de risico's voor jouw organisatie liggen, en moet je aan kunnen tonen dat je stuurt op de beheersing van die risico's.
|
||||
|
||||
Je kunt dat niet doen door je handtekening te zetten onder een lijst maatregelen van je IT-leverancier. Maatregelen zonder een onderliggende risicoanalyse zijn willekeurig. Mocht er iets mis gaan, dan heb je geen goede verantwoording voor de gemaakte keuzes.
|
||||
Je handtekening zetten onder een lijst maatregelen van je IT-leverancier is niet voldoende: maatregelen zijn willekeurig, als ze niet gebaseerd zijn op een risicoanalyse. Mocht er iets mis gaan, dan moet je je keuzes kunnen verantwoorden. Je kunt je niet vrijpleiten door te wijzen naar een andere partij.
|
||||
|
||||
De wet benoemt tien minimummaatregelen – van risicoanalyse en reactie op incidenten tot leveranciersmanagement en opleiding van medewerkers. Hoe die precies ingevuld worden zal per organisatie verschillen, maar de invulling moet gebaseerd zijn op een goede en complete risicoanalyse. De maatregelen moeten ook passen bij de organisatie, dus draagbaar en uitvoerbaar zijn. Dat is geen IT-kwestie, maar een managementbeslissing.
|
||||
|
||||
|
|
|
|||
|
|
@ -1,15 +0,0 @@
|
|||
**Grip begint met weten waar je staat.**
|
||||
|
||||
De tien minimummaatregelen uit de Cbw klinken abstract zolang je niet weet welke risico's voor jouw organisatie het zwaarst wegen. Daarom beginnen de eerste vier stappen niet met maatregelen, maar met inzicht.
|
||||
|
||||
**Stap 1 — Risicoanalyse** Welke processen en systemen zijn kritiek voor je bedrijfsvoering? Wat kan er misgaan, hoe groot is de kans, en wat is de impact? Dit is geen IT-exercitie. Het zijn vragen die je beantwoordt in een paar werksessies met senior medewerkers uit de hele organisatie — van productie tot inkoop tot HR.
|
||||
|
||||
**Stap 2 — Gap-analyse** Leg de uitkomst van de risicoanalyse naast de tien minimummaatregelen van art. 21: risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie. Wat is er al, wat ontbreekt, en wat heeft prioriteit gezien de risico's?
|
||||
|
||||
**Stap 3 — Bedrijfscontinuïteit** Veel organisaties hebben een bedrijfscontinuïteitsplan. Maar bevat het ook cyberscenario's? Wat doe je als je systemen uitvallen door ransomware, of als een kritische leverancier wegvalt? Dit is het moment om die scenario's toe te voegen en doelen te stellen voor maximale hersteltijd.
|
||||
|
||||
**Stap 4 — Incident response** Als er iets misgaat, moet er een plan liggen. Wie doet wat, wie communiceert naar klanten, wat is de meldingsplicht? Dat hoeft geen dik document te zijn — een paar pagina's volstaan. Maar het moet er wel zijn, en iedereen moet het kennen.
|
||||
|
||||
Deze vier stappen vormen het fundament. In de volgende post de vier stappen die je compliant en aantoonbaar maken naar buiten.
|
||||
|
||||
— Cbw-compliance in 8 stappen — 3/5 \#managingsecurity \#Cbw \#NIS2
|
||||
|
|
@ -0,0 +1,17 @@
|
|||
# Informatiebeveiliging als onderdeel van je organisatiebesturing — waar begin je?
|
||||
|
||||
Informatiebeveiliging als onderdeel van je organisatiebesturing — waar begin je?
|
||||
|
||||
Om als bestuurder te kunnen sturen op informatiebeveiliging, zorg je eerst voor inzicht in de huidige veiligheidssituatie, en zorg je dat de organisatie is voorbereid op het moment dat er toch iets misgaat. Daar gaan de eerste vier stappen over.
|
||||
|
||||
Stap 1: Risicoanalyse — Identificeer de processen en systemen die kritiek voor je bedrijfsvoering. Wat kan er misgaan, hoe groot is de kans, en wat is de impact? Dit is geen vraag voor de IT-afdeling. Dit zijn vragen waarop de managers en senior medewerkers van de afdelingen een antwoord moeten hebben — van verkoop en productie tot inkoop en HR. Dit kun je in een paar gezamenlijke werksessies helder krijgen.
|
||||
|
||||
Stap 2: Gap-analyse — Bekijk de tien minimummaatregelen van art. 21 uit de Cyberbeveiligingswet (Cbw): risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie. Wat is er al, wat ontbreekt er, zijn de stukken nog actueel, wat moet je eerst aanpakken, gezien de risicoanalyse uit stap 1?
|
||||
|
||||
Stap 3: Bedrijfscontinuïteit — Veel organisaties hebben een bedrijfscontinuïteitsplan. Maar bevat het ook scenario's voor de beschikbaarheid, vertrouwelijkheid en integriteit van IT- middelen en -diensten? Wat doe je als je systemen uitvallen door ransomware, of als een kritische leverancier wegvalt? Beschrijf scenario's voor de belangrijkste risico's en stel doelen voor de maximale hersteltijd.
|
||||
|
||||
Stap 4: Incident response — Als er iets misgaat, moet er een plan liggen. Dan hoeft niemand in paniek te raken. Wie doet wat, wie communiceert naar klanten en belanghebbenden, wat is de meldingsplicht? Dat hoeft geen dik document te zijn — een paar pagina's volstaan. Maar het moet er wel zijn, en iedereen moet het kennen.
|
||||
|
||||
Deze vier stappen zorgen voor inzicht en vertrouwen. In de volgende post de vier stappen die informatiebeveiliging compliant en aantoonbaar maken.
|
||||
|
||||
— Cbw-compliance in 8 stappen — 3/5 \#managingsecurity \#Cbw \#NIS2
|
||||
|
|
@ -0,0 +1,17 @@
|
|||
# Informatiebeveiliging compliant en aantoonbaar maken — de laatste vier stappen.
|
||||
|
||||
Informatiebeveiliging compliant en aantoonbaar maken — de laatste vier stappen.
|
||||
|
||||
De eerste vier stappen gaven inzicht en voorbereiding. De volgende vier maken informatiebeveiliging aantoonbaar: naar je leveranciers, naar je klanten, en naar toezichthouders.
|
||||
|
||||
Stap 5: Leveranciersmanagement — De Cbw verplicht je expliciet tot ketenverantwoordelijkheid. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor wat je leveranciers doen met jouw data en systemen. Uit je risicoanalyse (stap 1) weet je wat de kritische systemen en diensten zijn. Breng het risicoprofiel van de leveranciers in kaart: hoe afhankelijk ben je van ze, welke toegang hebben ze tot je systemen, en wat hebben jullie contractueel vastgelegd over beveiliging? De stelregel is: de eisen die je aan je eigen beveiliging stelt, moet je ook stellen aan je leverancier.
|
||||
|
||||
Stap 6: Bestuurstraining — Artikel 24 verplicht elk bestuurslid tot aantoonbare kennis van cybersecurityrisico's, maatregelen, en het op strategisch niveau kunnen voeren van het gesprek over beveiliging. Certificeringseisen moeten nog worden uitgewerkt, maar een training die de wettelijke leerdoelen afdekt en daar een schriftelijk bewijs van afgeeft, is vooralsnog de meest praktische invulling.
|
||||
|
||||
Stap 7: Beveiligingsprofiel voor klanten — De vragen en eisen die jij aan leveranciers stelt (stap 5), zullen jouw klanten en opdrachtgevers ook aan jou gaan stellen. Het is raadzaam een standaarddocument op te stellen waarin je beleid en de belangrijkste maatregelen zijn samengevat. Dat is geen wettelijke eis, maar een praktische invulling die helpt je kansen bij klanten te vergroten en het verkoopproces versnelt.
|
||||
|
||||
Stap 8: Borging in de organisatie — Voldoen aan de Cbw is geen eenmalig project, maar vraagt aantoonbare processen die zorgen dat de beveiliging actueel blijft. Benoem eigenaren voor de verschillende onderdelen en plan periodieke reviews. Die eigenaren hoeven geen technische kennis te hebben: ze zijn verantwoordelijk voor het proces, niet voor de inhoud. De eindverantwoordelijkheid ligt altijd bij de directie.
|
||||
|
||||
"In de volgende post: Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht.
|
||||
|
||||
— Cbw-compliance in 8 stappen — 4/5 \#managingsecurity \#Cbw \#NIS2
|
||||
|
|
@ -1,3 +0,0 @@
|
|||
|
||||
|
||||
— Cbw-compliance in 8 stappen — 4/5 \#managingsecurity \#Cbw \#NIS2
|
||||
|
|
@ -0,0 +1,15 @@
|
|||
# Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht
|
||||
|
||||
Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht.
|
||||
|
||||
De acht stappen in deze reeks leiden niet naar een oorkonde. Ze leiden naar een werkend systeem van risicomanagement dat je organisatie weerbaar houdt en waarmee je als bestuurder verantwoording kunt afleggen over de gemaakte keuzes.
|
||||
|
||||
Gebruik de tien minimummaatregelen uit artikel 21 — risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie — daarom niet als checklist, maar als kader om bij te sturen in een omgeving waar processen, technologie, stakeholders en risico's continu veranderen.
|
||||
|
||||
Als bestuurder hoef je niet op zoek naar zwakke plekken in de techniek. Wat je wél nodig hebt om de juiste beslissingen te nemen, is inzicht in het verband tussen bedrijfsrisico's en IT-maatregelen. Dat inzicht krijg je door je betrokkenheid bij de risicoanalyse uit stap 1. Hiermee kun je het gesprek over informatiebeveiliging naar bestuursniveau trekken.
|
||||
|
||||
De Cbw vraagt niet om perfecte beveiliging — er zullen altijd risico's zijn. Waar het wel om gaat is dat je consistent blijft zoeken naar verbetering, zoals je dat als bestuurder gewend bent te doen.
|
||||
|
||||
Als je wilt weten waar jouw organisatie staat, praat ik graag een uur met je.
|
||||
|
||||
— Cbw-compliance in 8 stappen — 5/5 \#managingsecurity \#Cbw \#NIS2
|
||||
64
Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md
Normal file
64
Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md
Normal file
|
|
@ -0,0 +1,64 @@
|
|||
# Bestuurderstraining onder de Cbw
|
||||
|
||||
Verplicht de Cbw dat bestuurders een certificaat hebben van een Cybersecurity training?
|
||||
|
||||
Nee, niet precies. De Nederlandse Cyberbeveiligingswet legt wel een opleidings- en kennisverplichting voor bestuurders neer, maar uit de beschikbare toelichting volgt niet dat elk bestuurslid per se een specifiek, wettelijk voorgeschreven certificaat moet hebben van een aangewezen instantie. De kern is dat bestuurders aantoonbaar voldoende kennis en vaardigheden moeten hebben over cyberrisico’s, risicobeheersing en de gevolgen van maatregelen, en dat dit binnen twee jaar na inwerkingtreding of na benoeming op peil moet zijn.[5]
|
||||
|
||||
## Wat er wél van bestuurders wordt gevraagd
|
||||
De bestuursleden moeten de risico’s voor netwerk- en informatiesystemen kunnen begrijpen, maatregelen kunnen beoordelen en het gesprek met de CISO op strategisch niveau kunnen voeren. De training moet in elk geval onderwerpen behandelen zoals soorten risico’s, mogelijke gevolgen, risicomanagement binnen de organisatie, en het beoordelen van cyberbeheersmaatregelen. Volgens de toelichting moet die kennis daarna ook actueel worden gehouden.[5]
|
||||
|
||||
## Over dat certificaat
|
||||
In de toelichting wordt genoemd dat na afloop van de training een certificaat kan worden afgegeven als bewijs dat de training is gevolgd, met vermelding van de gevolgde onderwerpen. Tegelijk staat daar ook dat de precieze eisen voor zo’n certificaat nog in het Cyberbeveiligingsbesluit worden vastgelegd. Dat betekent dat er nu nog geen definitief, volledig uitgewerkt landelijk certificeringsregime is waarop je al kunt wijzen.[5]
|
||||
|
||||
## Wie mag het afgeven?
|
||||
Op basis van de beschikbare informatie is er nog geen publiek uitgewerkt antwoord dat alleen een bepaalde overheid of gecertificeerde instelling dit certificaat mag uitgeven. De tekst wijst juist op nadere uitwerking in lagere regelgeving, dus de details over uitgevende partijen, opleiders en minimale inhoud zijn nog niet volledig dichtgeregeld. Wel is duidelijk dat de training zelf erop gericht moet zijn om de wettelijke leerdoelen af te dekken.[5]
|
||||
|
||||
## Praktisch gevolg
|
||||
Voor nu kun je het het beste zo samenvatten: er is een **trainings- en bewijsverplichting**, maar niet al een uitgekristalliseerde eis dat ieder bestuurslid een door een specifieke instantie afgegeven cybersecuritycertificaat moet hebben. Organisaties doen er verstandig aan om trainingen te kiezen die expliciet aansluiten op de wettelijke leerdoelen en daar een schriftelijk bewijs of certificaat van te bewaren. De uiteindelijke formele eisen volgen uit de verdere uitwerking in het Cyberbeveiligingsbesluit.[5]
|
||||
|
||||
Sources
|
||||
[1] Bestuurders in de vuurlinie van de Cyberbeveiligingswet - FidelSec https://fidelsec.nl/blog/2025/05/20/bestuurders-in-de-vuurlinie-van-de-cyberbeveiligingswet/
|
||||
[2] CBW/NIS2 Governance voor Bestuurders (incompany training) https://www.tstc.nl/training/553/cbw-nis2-governance-voor-bestuurders-incompany-training
|
||||
[3] Nationale Cybersecurity Certificerings Autoriteit van start https://beveiligingnieuws.nl/nationale-cybersecurity-certificerings-autoriteit-van-start/
|
||||
[4] Onbewuste bestuurders risico voor digitale veiligheid... - Berenschot https://www.berenschot.nl/blog/onbewuste-bestuurders-risico-voor-digitale-veiligheid
|
||||
[5] Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders
|
||||
[6] Training NIS2/Cyberbeveiligingswet voor bestuurders https://www.berenschot.nl/digitalisering-en-technologie/informatiebeveiliging-en-cybersecurity/training-nis2-cyberbeveiligingswet-voor-bestuurders
|
||||
[7] Het Nederlandse cybersecurity certificeringslandschap na ... https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/onderzoek/onderzoeksresultaten/het-nederlandse-cybersecurity-certificeringslandschap-na-de-intreding-van-de-cybersecurity-act
|
||||
[8] BLOG: De Cyberbeveiligingswet: nieuwe ... https://l2p.nl/blog-de-cyberbeveiligingswet-nieuwe-verantwoordelijkheden-en-aansprakelijkheid-voor-bestuurders-van-gemeenten-en-gemeentelijke-regelingen
|
||||
[9] document?id=2025D31014 https://www.tweedekamer.nl/downloads/document?id=2025D31014
|
||||
[10] Online NIS2 training - Verplicht voor bestuurders https://avg-compleet.nl/onze-diensten/privacy-trainingen/inleiding-tot-de-nis2/
|
||||
|
||||
# Kunnen we uit de wet de leerdoelen afleiden?
|
||||
|
||||
Ja, grotendeels wel: uit de wet en de toelichting zijn de leerdoelen al redelijk goed af te leiden, ook al worden ze in lagere regelgeving nog verder uitgewerkt.[4][6]
|
||||
|
||||
## Af te leiden leerdoelen
|
||||
De training moet bestuurders in staat stellen om risico’s voor netwerk- en informatiesystemen te herkennen, de gevolgen van die risico’s te begrijpen, en passende beheersmaatregelen te beoordelen. Ook moeten zij het risicomanagementproces binnen de organisatie kunnen volgen en er op strategisch niveau over kunnen meepraten. Verder hoort daar bij dat zij voldoende basis hebben om met de CISO en andere verantwoordelijken inhoudelijk te sparren over cyberbeveiliging.[6][4]
|
||||
|
||||
## Concreet uit de toelichting
|
||||
De toelichting noemt als onderwerp in elk geval: verschillende soorten risico’s zoals malware, insider threats en DDoS-aanvallen, de mogelijke gevolgen daarvan, het risicomanagementproces en de methodiek, en het beoordelen van cyberbeheersmaatregelen en hun effecten. Daarmee kun je de leerdoelen vrij nauwkeurig formuleren als: “begrijpen, beoordelen en bestuurlijk afwegen” in plaats van alleen “kennis hebben”.[4][6]
|
||||
|
||||
## Wat nog niet vastligt
|
||||
Wat nog niet volledig dichtstaat, zijn de exacte didactische eisen en de formele uitwerking in het Cyberbeveiligingsbesluit; daar kunnen nog nadere details over training, trainer en certificaat in komen. De wetstekst en publieke toelichting geven dus wel een stevig kader, maar geen volledig uitgewerkt curriculum met toetsmatrijs of verplichte uren.[8]
|
||||
|
||||
## Praktische vertaling
|
||||
Voor een training betekent dit in de praktijk dat je minimaal zou willen dat een bestuurder na afloop kan:
|
||||
- cyberrisico’s herkennen en duiden.
|
||||
- de impact voor de organisatie inschatten.
|
||||
- voorgestelde maatregelen kritisch beoordelen.
|
||||
- keuzes op bestuursniveau onderbouwen.
|
||||
- met de CISO een inhoudelijk gesprek voeren over prioriteiten en opvolging.[6][4]
|
||||
|
||||
Een cursus die alleen algemene awareness geeft, lijkt daarvoor waarschijnlijk te mager; de nadruk ligt echt op bestuurlijke besluitvorming en risicobeoordeling.[4][6]
|
||||
|
||||
Sources
|
||||
[1] Bestuurders in de vuurlinie van de Cyberbeveiligingswet - FidelSec https://fidelsec.nl/blog/2025/05/20/bestuurders-in-de-vuurlinie-van-de-cyberbeveiligingswet/
|
||||
[2] Bestuurders en de Cyberbeveiligingswet https://governance-web.nl/nieuws/bestuurders-en-de-cyberbeveiligingswet/
|
||||
[3] Cyberbeveiligingswet https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet
|
||||
[4] Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders
|
||||
[5] document?id=2025D31014 https://www.tweedekamer.nl/downloads/document?id=2025D31014
|
||||
[6] Bestuurlijke verantwoordelijkheid en opleidingsplicht voor ... https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-aansprakelijkheid-en-opleidingsplicht-voor-bestuurders
|
||||
[7] Cbb), strekt ter uitwerkin https://www.tweedekamer.nl/downloads/document?id=2025D31015
|
||||
[8] Bestuurlijke aansprakelijkheid en opleidingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/cyberbeveiligingswet/bestuurlijke-aansprakelijkheid-en-opleidingsplicht-voor-bestuurders
|
||||
[9] Tweede Kamer der Staten-Generaal https://www.eerstekamer.nl/9370000/1/j9vvkyblr2b3ny8/vmo01rq7g8zm/f=y.pdf
|
||||
[10] Bestuurlijke verantwoordelijkheid en governance https://www.rdi.nl/onderwerpen/digitale-weerbaarheid/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid
|
||||
Loading…
Add table
Add a link
Reference in a new issue