Bestuurders in de vuurlinie van de Cyberbeveiligingswet

Met de komst van de Cyberbeveiligingswet – de Nederlandse implementatie van de Europese NIS2-richtlijn – verschuift de verantwoordelijkheid voor digitale weerbaarheid definitief naar de top van de organisatie. Bestuurders van essentiële en belangrijke entiteiten krijgen niet alleen een toezichthoudende rol, maar worden ook persoonlijk verantwoordelijk voor kennis en besluitvorming rond cyberbeveiliging.

Waar eerdere wetgeving zoals de AVG en de BIO (voor overheden) vooral gericht was op informatiebeveiliging vanuit privacy- en procesperspectief, gaat de Cyberbeveiligingswet een stap verder. Artikel 24 van de concepttekst stelt formeel dat bestuursleden van kritieke organisaties over aantoonbare kennis en vaardigheden moeten beschikken op het gebied van cyberrisico’s en -maatregelen. Dit is niet vrijblijvend.

Juridische verplichtingen voor bestuurders

Artikel 24 is helder: de beveiligingsmaatregelen zoals uitgewerkt in artikel 21 – waaronder risicobeheer, incidentbehandeling, back-upstrategieën en leveranciersbeveiliging – dienen expliciet te worden goedgekeurd door het bestuur van de organisatie. Daarbij moeten bestuursleden in staat zijn om de onderliggende risico’s en gevolgen van deze maatregelen op hun bedrijfsvoering en dienstverlening te begrijpen en te beoordelen.

Concreet:

• Elk bestuurslid moet binnen twee jaar na inwerkingtreding van deze bepaling beschikken over voldoende kennis en vaardigheden op het gebied van cyberbeveiliging.
• Dit moet aantoonbaar zijn door middel van een certificaat van een voltooide training.
• De opgedane kennis dient actueel te worden gehouden, wat structurele bijscholing vereist.

Deze verplichtingen gelden ongeacht de rechtsvorm: van NV en stichting tot VOF of overheidsorganisatie. In het geval van een gemeente betreft dit expliciet het college van burgemeester en wethouders.

De context: zorgplicht en proportionaliteit

Artikel 21 van de wet introduceert een zorgplicht: organisaties moeten passende en evenredige maatregelen treffen voor de beveiliging van hun netwerk- en informatiesystemen. Daarbij moet rekening worden gehouden met:

• de stand van de techniek,
• de kosten van implementatie,
• de aard en ernst van de risico’s,
• en relevante Europese normen.

Onderdeel hiervan is ook de beveiliging van toeleveranciers, bedrijfscontinuïteitsplanning, beveiliging bij systeemontwikkeling en – niet onbelangrijk – opleiding van personeel op het gebied van cyberbeveiliging. Het bestuur kan deze maatregelen dus niet delegeren zonder zelf verantwoordelijkheid te dragen voor de inhoud en uitvoering.

Een nieuwe norm voor digitale governance

Wat in de praktijk verandert, is dat bestuurders zich niet langer kunnen beroepen op onbekwaamheid of afstand tot digitale aangelegenheden. Cyberbeveiliging wordt daarmee een expliciet onderdeel van corporate governance, vergelijkbaar met financiële verslaglegging en compliance.

Organisaties zullen deze nieuwe verantwoordelijkheden moeten verankeren in hun governance-structuren: via opleidingsplannen, rolbeschrijvingen, interne audits en het opnemen van cyberrisico’s in de strategische besluitvorming. Voor overheidsorganisaties betekent dit bovendien afstemming met bestaande verantwoordingsstructuren zoals de ENSIA en BIO.

Vooruitblik