Bestuurders en de Cyberbeveiligingswet

In dit blog bespreken we de verantwoordelijkheid van bestuurders van de zogenoemde essentiële en belangrijke entiteiten. We gaan in op wat de Cbw van bestuurders verlangt, welke kennis en vaardigheden zij moeten bezitten, en hoe zij hun taken kunnen verdelen met bijvoorbeeld de Chief Information Security Officer (“CISO”).

De rol en verplichtingen van bestuurders

De Cbw maakt bestuurders eindverantwoordelijk voor de naleving van alle Cbw verplichtingen. Bestuurders moeten onder meer zorg dragen voor de registratie van de organisatie bij het digitale loket van het Nationaal Cyber Security Centrum. Daarnaast onderhouden bestuurders het contact met toezichthoudende instanties en Computer Security Incident Response Teams (“CSIRTs”) wanneer zich significante incidenten voordoen. De bestuurders brengen de relevante cyberrisico’s in kaart, stellen passende beheersmaatregelen vast, keuren deze goed en houden actief toezicht op de uitvoering

De verantwoordelijkheid ligt bij het formele bestuur of, in geval van een one-tier board, bij de uitvoerende bestuurders. Bij andere rechtsvormen rust de verantwoordelijkheid op de feitelijke bestuurders. Voor overheidsinstanties zijn de minister, het college van burgemeester en wethouders of het dagelijks bestuur verantwoordelijk.

Vereiste kennis en vaardigheden

Bestuurders kunnen alleen beslissingen nemen als zij voldoende kennis hebben over cyberbeveiliging. Daarom zijn zij verplicht om regelmatig trainingen te volgen op het gebied van cyberbeveiliging Deze scholingsplicht stelt hen in staat risico’s te begrijpen, maatregelen en de impact daarvan te beoordelen en weloverwogen besluiten te nemen. Vanaf de inwerkingtreding van de Cbw geldt een overgangstermijn van twee jaar (of, bij nieuwe benoemingen, twee jaar na aantreden). Daarna moeten bestuurders hun kennis aantoonbaar actueel houden, onder meer via trainingen met certificering.

Iedere bestuurder moet in ieder beschikken over kennis en vaardigheden om:

• Risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren;
• Risicobeheersmaatregelen te kunnen beoordelen; en
• De gevolgen van de risico’s en risicobeheersmaatregelen voor de dienstverlening te kunnen beoordelen.

In de praktijk betekent dit dat bestuurders:

• Typische dreigingen en kwetsbaarheden kunnen herkennen en duiden. Het gaat bijvoorbeeld om malware/ransomware, phishing, insider threats, supply-chain-risico’s, Distributed Denial of Service aanvallen, misconfiguraties en afhankelijkheden van derden;
• Inzicht hebben in het risicomanagementproces: hoe risico’s worden geïdentificeerd, geanalyseerd, geprioriteerd en behandeld, hoe het risicoregister en de rapportagelijnen functioneren, en welke risicobereidheid en drempelwaarden de organisatie hanteert; en
• Risicobeheersmaatregelen kunnen beoordelen, prioriteren en hun impact kunnen afwegen tegen effectiviteit, proportionaliteit en kosten.

De precieze kennisvereisten kunnen bij algemene maatregel van bestuur nader worden uitgewerkt.

Concrete bestuurlijke taken

Naast de vereisten rond kennis en scholing schrijft de Cbw ook voor wat bestuurders in de praktijk moeten doen. De belangrijkste bestuurlijke taken zijn:

1. Cyberrisicomanagement integreren

• Cyberbeveiliging is een kernonderdeel van de risicostrategie.
• Het bestuur is eindverantwoordelijk voor een effectief risicomanagementproces dat continu wordt gemonitord en verbeterd.

2. Vaststellen en goedkeuren van beleid

• Het bestuur stelt het informatiebeveiligingsbeleid vast en keurt dit goed.
• Het beleid omvat preventieve maatregelen, incidentrespons, opleidingen en supply-chain-beveiliging.

3. Incidentmanagement en meldplicht

• Het bestuur zorgt voor een goed ingerichte incidentresponsprocedure, inclusief Operatioonal Technology (“OT”)-systemen. Een kwetsbaarheid in IT kan directe gevolgen hebben voor fysieke processen in OT. Bestuurders moeten daarom toezien op een geïntegreerde aanpak, waarin incidentrespons ook OT-scenario’s omvat en risico’s uit beide domeinen in samenhang worden beheerd.
• Significante incidenten worden tijdig gemeld aan toezichthouders en CSIRTs.

De rol van de CISO

Voor de uitvoering en invulling van het cyberbeveiligingsbeleid stellen veel organisaties een CISO aan. Het aanstellen van een CISO is niet verplicht, maar voor grote organisaties wel aan te raden.

Het bestuur blijft eindverantwoordelijk voor de naleving van de Cbw, een CISO dient ter ondersteuning. Zo kan een CISO bijvoorbeeld:

• Adviseren: technische risico’s vertalen naar strategische en operationele impact;
• Coördineren: implementatie en voortgang van maatregelen bewaken; en
• Controleren: naleving van beleid toetsen en periodiek rapporteren.

Aansprakelijkheid

Bestuurders die niet of onvoldoende verantwoordelijkheid nemen op het gebied van de naleving en invulling van de Cbw lopen het risico civielrechtelijk aansprakelijk te worden gesteld. Daarnaast kunnen toezichthouders handhavens optreden jegens hen.

Conclusie

De Cbw maakt cyberweerbaarheid een belangrijke prioriteit voor bestuurders. De nieuwe wet brengt veel nieuwe verplichtingen, verantwoordelijkheden en risico’s voor bestuurders van essentiële en belangrijke entiteiten mee. Voor bestuurders dus zaak om zich tijdig te informeren en voor te bereiden.

Wilt u weten welke verplichtingen voor u als bestuurder gelden en hoe u uw organisatie én uzelf juridisch kunt beschermen? Neem dan contact op met Anna Sträter, Bente van Kan, Wouter Fledderus, Machteld Robichon of Ole Oerlemans.

Meer weten over de Cbw? Lees onze andere blogs:

• De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid
• Het toepassingsgebied van de Cyberbeveiligingswet