Artikel 24 des niederländischen Cybersicherheitsgesetzes (Cbw) verpflichtet Vorstände von Cbw-pflichtigen Organisationen, nachweisbar Cybersicherheitstraining zu absolvieren, und legt persönliche Haftung bei schuldhafter Fahrlässigkeit fest. Dies ist eine direkte Umsetzung von NIS2 Artikel 20. Wer fällt darunter, was muss das Training abdecken, wie dokumentieren Sie es, und welche Folgen hat Nichteinhaltung? In diesem Artikel alles, was Vorstand und Aufsichtsrat über Cbw Art. 24 wissen müssen.
Für wen gilt die Vorstands-Trainingspflicht?
Die Trainingspflicht aus Cbw Art. 24 gilt für "Personen, die dem Leitungsorgan einer Cbw-pflichtigen Organisation angehören". In niederländischen Begriffen bedeutet das:
- Vorstände (Raad van Bestuur, geschäftsführendes Organ)
- Aufsichtsräte (Raad van Toezicht / Raad van Commissarissen, überwachendes Organ)
- Direktionen und alleinige Direktoren-Gesellschafter bei Einrichtungen ohne formellen Vorstand
- Beigeordnete, Provinzräte und Mitglieder des täglichen Vorstands bei öffentlichen Einrichtungen
- Vorstandsmitglieder von Universitäten und Fachhochschulen (Hochschulwesen fällt unter das Cbw)
Was muss das Training abdecken?
Das Cbw schreibt keinen spezifischen Lehrplan vor, aber das Cyberbeveiligingsbesluit (Cbb) und die Aufsichtsbehörden haben Leitlinien veröffentlicht. Das Training muss Vorstände in die Lage versetzen, Cybersicherheitsrisiken zu identifizieren und ihre Auswirkungen auf die Organisation und ihre Dienste zu beurteilen.
In der Praxis bedeutet das: aktuelles Bedrohungsbild (Ransomware, Social Engineering, Supply Chain), Cbw-Pflichten und Governance-Rolle, persönliche Haftung, Meldung und Eskalation erheblicher Vorfälle sowie die Übersetzung technischen Risikos in Geschäftsstrategie.
Wichtig: das Training muss nachweisbar auf Entscheider ausgerichtet sein. Ein allgemeines Security-Awareness-E-Learning für Mitarbeitende reicht nicht, Vorstände brauchen Training auf Governance-Ebene, nicht auf Nutzerebene.
Häufigkeit und Umfang
Cbw Art. 24 spricht von "regelmäßig". In den Leitlinien der Aufsichtsbehörden ist das übersetzt in mindestens eine formelle Trainingssitzung pro Jahr je Vorstandsmitglied, ergänzt durch zwischenzeitliche Updates bei relevanten Vorfällen oder Regelungsänderungen.
Der Gesamtzeitaufwand beträgt typischerweise 4–8 Stunden pro Vorstandsmitglied pro Jahr: 2–3 Stunden Initialtraining, 2–3 Stunden Vertiefung/Wiederholung und 1–2 Stunden Szenario- oder Table-Top-Übung. Mehrere kurze Sitzungen von 30–60 Minuten funktionieren besser als eine einzelne lange Jahressitzung.
Neue Vorstandsmitglieder müssen innerhalb von 6 Monaten nach Amtsantritt vollständig geschult sein. Für bestehende Mitglieder gilt typischerweise eine Übergangsfrist von 12–24 Monaten ab Inkrafttreten des Cbw, danach jährliche Wiederholung.
Dokumentation und Beweis
Beweisführung ist essenziell: bei Aufsichtsmaßnahmen ist die erste Frage fast immer "zeigen Sie, dass der Vorstand geschult wurde". Was dokumentiert werden muss:
- Pro Vorstandsmitglied: Name, Trainingsdatum, Inhalt, Dauer, Anbieter, Abschlussnachweis (Zertifikat oder Plattform-Log)
- Pro Organisation: Trainingsplanung für laufendes und nächstes Geschäftsjahr, gekoppelt an Bestellungen und Wiederbestellungen
- Pro Tagesordnung: Vorstandssitzungen, in denen Cybersicherheit besprochen wurde, mit Protokollen, die zeigen, dass das Thema behandelt wurde
- Pro Vorfall: wann der Vorstand informiert wurde, welche Entscheidung getroffen wurde, welche Folgemaßnahme vereinbart wurde
- Manipulationssichere Logs (Zeitstempel + Audit-Trail) sind deutlich stärker als lose Zertifikate oder E-Mails
Persönliche Haftung, was bedeutet das konkret?
Cbw Art. 24 führt direkte persönliche Haftung für Vorstandsmitglieder bei schuldhafter Fahrlässigkeit in der Cybersicherheit ein. Das ist ein Bruch mit dem alten Regime, in dem nur die Organisation haftbar war.
Konkret können Aufsichtsbehörden in schweren Fällen: persönliche Bußgelder verhängen, Vorstandsmitglieder vorübergehend von ihren Funktionen entheben und bei Verdacht auf strafbare Handlungen (etwa bewusstem Zurückhalten von Vorfallmeldungen) an die Staatsanwaltschaft verweisen. Zivilrechtliche Haftung für Schäden Dritter ist daneben möglich.
"Schuldhaft" bedeutet typischerweise: wissen oder vernünftigerweise wissen müssen, dass ein Risiko vorliegt, und keine angemessenen Maßnahmen ergreifen. Ein Vorstandsmitglied, das nachweisen kann, dass es Training absolviert, das Risiko auf die Tagesordnung gesetzt und vernünftige Entscheidungen getroffen hat, ist in der Regel geschützt. Ein Mitglied, das nie geschult wurde und Cybersicherheit systematisch ohne eigene Beurteilung delegiert, nicht.
Häufige Fehler
In der ersten Umsetzungsrunde sehen Aufsichtsbehörden die gleichen Muster, die als schuldhafte Fahrlässigkeit ausgelegt werden können:
- Generische Awareness-Module für den Vorstand verwenden statt governance-spezifisches Training. Das ist eine Tickbox, kein nachweisbares Vorstandstraining.
- Cybersicherheit vollständig an den CISO delegieren, ohne dass der Vorstand sich vom Stand der Dinge vergewissert. Das Cbw verlangt aktive Steuerung, nicht nur formelle Genehmigung.
- Keine Dokumentation von Vorstandssitzungen, in denen Cybersicherheit besprochen wurde. Kein Tagesordnungspunkt = keine Aufmerksamkeit aus Aufsichts-Perspektive.
- Verwechslung von "Compliance" und "Sicherheit". Eine Organisation kann auf dem Papier Cbw-konform und gleichzeitig in der Praxis verwundbar sein. Vorstände müssen beides unterscheiden können.
- Späte Einarbeitung neuer Vorstandsmitglieder, wenn ein neues Mitglied erst nach 12 Monaten Training erhält, entsteht eine sofort prüfbare Lücke.
Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.
Zur NIS2-SeiteVerwandte Artikel
- Was ist das niederländische Cybersicherheitsgesetz (Cbw)?
- Board-Reporting für Awareness
- Auditnachweise für Awareness
Quellen
FAQ
Kann das Vorstandstraining online stattfinden?
Ja. Cbw Art. 24 schreibt keine spezifische Form vor. Online-, Hybrid- und Präsenztraining sind alle akzeptabel, solange Abschluss nachweisbar ist und der Inhalt passt. Viele Vorstände wählen kurze Module von 30–60 Minuten, weil sie in den Kalender passen.
Gilt das auch für den Aufsichtsrat?
Ja. Das Cbw spricht von "dem Leitungsorgan", was in den Niederlanden sowohl das geschäftsführende (RvB) als auch das überwachende Organ (RvT, RvC) umfasst. Beide müssen Training absolvieren, ggf. mit anderen Schwerpunkten, das Aufsichtsorgan stärker auf Governance, das geschäftsführende Organ auf operative Entscheidungen.
Was, wenn ein Vorstandsmitglied Training verweigert?
Formal eine Fahrlässigkeit der Organisation, materiell eine des Mitglieds selbst. Der Aufsichtsrat kann und muss eingreifen. Bei anhaltender Weigerung kann die Generalversammlung das Mitglied abberufen; in extremen Fällen können Aufsichtsbehörden eingreifen.
Zählt ein MBA mit Cybersicherheits-Modul?
Nicht automatisch. Das Training muss nachweisbar auf die Cyber-Rolle eines Cbw-Vorstandsmitglieds ausgerichtet sein. Ein allgemeines MBA-Modul erfüllt selten die Spezifität, die Aufsichtsbehörden erwarten. Spezifisches "Board Cyber Training" mit Cbw-Kontext ist stärker.
Was ist ein angemessenes Budget?
Pro Vorstandsmitglied typischerweise €500–€2.000 pro Jahr für ein professionelles Programm mit Zertifizierung, E-Learning und jährlicher Update-Sitzung. Für kleinere Organisationen sind kollektive Branchenprogramme oft günstiger; für größere Organisationen kann eine interne Governance-Academy effizienter sein.
Wie unterscheidet sich das von Cbw Art. 21 Awareness?
Cbw Art. 21 verlangt allgemeines Awareness-Training für alle Mitarbeitenden. Cbw Art. 24 verlangt spezifisches Vorstandstraining. Beide sind verpflichtend und ergänzend: Mitarbeitende lernen Risiken zu erkennen, Vorstände lernen Risiken zu steuern. In der Praxis sind das zwei verschiedene Programme, nicht ein gemeinsamer Pfad.
Externe Quelle: European Commission - NIS2 Directive