Bestuurlijke aansprakelijkheid en opleidingsplicht voor bestuurders

Hoe zit het met de aansprakelijkheid van bestuurders?

De Cyberbeveiligingswet heeft als doel om essentiële en belangrijke entiteiten digitaal weerbaarder te maken en daarmee Nederland als geheel. De leden van het bestuur van deze entiteiten spelen hierin een belangrijke rol. Zij zijn verantwoordelijk voor beslissingen over netwerk- en informatiebeveiliging en moeten voldoende kennis hebben om weloverwogen keuzes te maken.

Hoe zit het met training voor de bestuurders?

De Cyberbeveiligingswet verplicht de leden van het bestuur van essentiële en belangrijke entiteiten om een training te volgen. Deze training dient ertoe deze bestuurders beveiligingsrisico’s voor netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen te kunnen beoordelen, en de gevolgen van die risico’s en maatregelen te kunnen beoordelen. In de bij de wet behorende algemene maatregel van bestuur (AMvB) kunnen nadere regels over deze training worden gesteld. Vanaf het moment van inwerkingtreding van de Cyberbeveiligingswet hebben bestuurders maximaal twee jaar om aan deze verplichting te voldoen.

Eisen training

In het Cyberbeveiligingsbesluit staat vermeld aan welke eisen een training moet voldoen. Dit zijn onder andere verschillende cyberrisico’s, zoals malware, interne dreigingen en DDoS-aanvallen, evenals risicomanagement en beveiligingsmethoden. Daarnaast moet de trainer aantoonbare ervaring hebben met best practices op het gebied van netwerk- en informatiebeveiliging.

*Inhoud gebaseerd op concept-amvb en nog onder voorbehoud van wijzigingen die voortkomen uit onder andere de internetconsultatie.