richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md

7.7 KiB
Raw Blame History

Bestuurderstraining onder de Cbw

Verplicht de Cbw dat bestuurders een certificaat hebben van een Cybersecurity training?

Nee, niet precies. De Nederlandse Cyberbeveiligingswet legt wel een opleidings- en kennisverplichting voor bestuurders neer, maar uit de beschikbare toelichting volgt niet dat elk bestuurslid per se een specifiek, wettelijk voorgeschreven certificaat moet hebben van een aangewezen instantie. De kern is dat bestuurders aantoonbaar voldoende kennis en vaardigheden moeten hebben over cyberrisicos, risicobeheersing en de gevolgen van maatregelen, en dat dit binnen twee jaar na inwerkingtreding of na benoeming op peil moet zijn.[5]

Wat er wél van bestuurders wordt gevraagd

De bestuursleden moeten de risicos voor netwerk- en informatiesystemen kunnen begrijpen, maatregelen kunnen beoordelen en het gesprek met de CISO op strategisch niveau kunnen voeren. De training moet in elk geval onderwerpen behandelen zoals soorten risicos, mogelijke gevolgen, risicomanagement binnen de organisatie, en het beoordelen van cyberbeheersmaatregelen. Volgens de toelichting moet die kennis daarna ook actueel worden gehouden.[5]

Over dat certificaat

In de toelichting wordt genoemd dat na afloop van de training een certificaat kan worden afgegeven als bewijs dat de training is gevolgd, met vermelding van de gevolgde onderwerpen. Tegelijk staat daar ook dat de precieze eisen voor zon certificaat nog in het Cyberbeveiligingsbesluit worden vastgelegd. Dat betekent dat er nu nog geen definitief, volledig uitgewerkt landelijk certificeringsregime is waarop je al kunt wijzen.[5]

Wie mag het afgeven?

Op basis van de beschikbare informatie is er nog geen publiek uitgewerkt antwoord dat alleen een bepaalde overheid of gecertificeerde instelling dit certificaat mag uitgeven. De tekst wijst juist op nadere uitwerking in lagere regelgeving, dus de details over uitgevende partijen, opleiders en minimale inhoud zijn nog niet volledig dichtgeregeld. Wel is duidelijk dat de training zelf erop gericht moet zijn om de wettelijke leerdoelen af te dekken.[5]

Praktisch gevolg

Voor nu kun je het het beste zo samenvatten: er is een trainings- en bewijsverplichting, maar niet al een uitgekristalliseerde eis dat ieder bestuurslid een door een specifieke instantie afgegeven cybersecuritycertificaat moet hebben. Organisaties doen er verstandig aan om trainingen te kiezen die expliciet aansluiten op de wettelijke leerdoelen en daar een schriftelijk bewijs of certificaat van te bewaren. De uiteindelijke formele eisen volgen uit de verdere uitwerking in het Cyberbeveiligingsbesluit.[5]

Sources [1] Bestuurders in de vuurlinie van de Cyberbeveiligingswet - FidelSec https://fidelsec.nl/blog/2025/05/20/bestuurders-in-de-vuurlinie-van-de-cyberbeveiligingswet/ [2] CBW/NIS2 Governance voor Bestuurders (incompany training) https://www.tstc.nl/training/553/cbw-nis2-governance-voor-bestuurders-incompany-training [3] Nationale Cybersecurity Certificerings Autoriteit van start https://beveiligingnieuws.nl/nationale-cybersecurity-certificerings-autoriteit-van-start/ [4] Onbewuste bestuurders risico voor digitale veiligheid... - Berenschot https://www.berenschot.nl/blog/onbewuste-bestuurders-risico-voor-digitale-veiligheid [5] Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders [6] Training NIS2/Cyberbeveiligingswet voor bestuurders https://www.berenschot.nl/digitalisering-en-technologie/informatiebeveiliging-en-cybersecurity/training-nis2-cyberbeveiligingswet-voor-bestuurders [7] Het Nederlandse cybersecurity certificeringslandschap na ... https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/onderzoek/onderzoeksresultaten/het-nederlandse-cybersecurity-certificeringslandschap-na-de-intreding-van-de-cybersecurity-act [8] BLOG: De Cyberbeveiligingswet: nieuwe ... https://l2p.nl/blog-de-cyberbeveiligingswet-nieuwe-verantwoordelijkheden-en-aansprakelijkheid-voor-bestuurders-van-gemeenten-en-gemeentelijke-regelingen [9] document?id=2025D31014 https://www.tweedekamer.nl/downloads/document?id=2025D31014 [10] Online NIS2 training - Verplicht voor bestuurders https://avg-compleet.nl/onze-diensten/privacy-trainingen/inleiding-tot-de-nis2/

Kunnen we uit de wet de leerdoelen afleiden?

Ja, grotendeels wel: uit de wet en de toelichting zijn de leerdoelen al redelijk goed af te leiden, ook al worden ze in lagere regelgeving nog verder uitgewerkt.[4][6]

Af te leiden leerdoelen

De training moet bestuurders in staat stellen om risicos voor netwerk- en informatiesystemen te herkennen, de gevolgen van die risicos te begrijpen, en passende beheersmaatregelen te beoordelen. Ook moeten zij het risicomanagementproces binnen de organisatie kunnen volgen en er op strategisch niveau over kunnen meepraten. Verder hoort daar bij dat zij voldoende basis hebben om met de CISO en andere verantwoordelijken inhoudelijk te sparren over cyberbeveiliging.[6][4]

Concreet uit de toelichting

De toelichting noemt als onderwerp in elk geval: verschillende soorten risicos zoals malware, insider threats en DDoS-aanvallen, de mogelijke gevolgen daarvan, het risicomanagementproces en de methodiek, en het beoordelen van cyberbeheersmaatregelen en hun effecten. Daarmee kun je de leerdoelen vrij nauwkeurig formuleren als: “begrijpen, beoordelen en bestuurlijk afwegen” in plaats van alleen “kennis hebben”.[4][6]

Wat nog niet vastligt

Wat nog niet volledig dichtstaat, zijn de exacte didactische eisen en de formele uitwerking in het Cyberbeveiligingsbesluit; daar kunnen nog nadere details over training, trainer en certificaat in komen. De wetstekst en publieke toelichting geven dus wel een stevig kader, maar geen volledig uitgewerkt curriculum met toetsmatrijs of verplichte uren.[8]

Praktische vertaling

Voor een training betekent dit in de praktijk dat je minimaal zou willen dat een bestuurder na afloop kan:

  • cyberrisicos herkennen en duiden.
  • de impact voor de organisatie inschatten.
  • voorgestelde maatregelen kritisch beoordelen.
  • keuzes op bestuursniveau onderbouwen.
  • met de CISO een inhoudelijk gesprek voeren over prioriteiten en opvolging.[6][4]

Een cursus die alleen algemene awareness geeft, lijkt daarvoor waarschijnlijk te mager; de nadruk ligt echt op bestuurlijke besluitvorming en risicobeoordeling.[4][6]

Sources [1] Bestuurders in de vuurlinie van de Cyberbeveiligingswet - FidelSec https://fidelsec.nl/blog/2025/05/20/bestuurders-in-de-vuurlinie-van-de-cyberbeveiligingswet/ [2] Bestuurders en de Cyberbeveiligingswet https://governance-web.nl/nieuws/bestuurders-en-de-cyberbeveiligingswet/ [3] Cyberbeveiligingswet https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet [4] Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders [5] document?id=2025D31014 https://www.tweedekamer.nl/downloads/document?id=2025D31014 [6] Bestuurlijke verantwoordelijkheid en opleidingsplicht voor ... https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-aansprakelijkheid-en-opleidingsplicht-voor-bestuurders [7] Cbb), strekt ter uitwerkin https://www.tweedekamer.nl/downloads/document?id=2025D31015 [8] Bestuurlijke aansprakelijkheid en opleidingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/cyberbeveiligingswet/bestuurlijke-aansprakelijkheid-en-opleidingsplicht-voor-bestuurders [9] Tweede Kamer der Staten-Generaal https://www.eerstekamer.nl/9370000/1/j9vvkyblr2b3ny8/vmo01rq7g8zm/f=y.pdf [10] Bestuurlijke verantwoordelijkheid en governance https://www.rdi.nl/onderwerpen/digitale-weerbaarheid/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid