2LRN4 security awareness platform
← Terug naar kennisbank

Welke beveiligingsonderwerpen zijn het belangrijkst voor leidinggevenden?

Praktische uitleg over beveiligingsonderwerpen voor leidinggevenden voor organisaties die veilig gedrag structureel willen verbeteren.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Sinds Cbw artikel 24 in 2024-2025 in werking trad, is de vraag welke beveiligingsonderwerpen leidinggevenden moeten kennen geen academische meer. Bestuurders en hoger management zijn persoonlijk aansprakelijk voor cybergovernance, en de training die zij volgen moet die verantwoordelijkheid raken: niet operationeel detail, wel strategische sturing, risico-afweging en crisisgedrag. Welke onderwerpen horen daar in 2026 zeker bij?

Waarom bestuurstraining anders is dan medewerkerstraining

Een medewerker leert hoe hij phishing herkent en wat hij doet bij een gestolen wachtwoord. Een bestuurder leert iets anders: hoe hij stuurt op cyberrisico, welke vragen hij stelt aan zijn CISO, hoe hij meebeslist bij een incident, en welke aansprakelijkheid hij draagt wanneer dingen misgaan. De inhoud overlapt deels, het niveau is fundamenteel anders.

Onder de Cbw artikel 24 is bestuurstraining wettelijk verplicht voor essentiële en belangrijke entiteiten. De aansprakelijkheid is persoonlijk: niet de organisatie maar de individuele bestuurder kan worden aangesproken bij een datalek dat aantoonbaar voortvloeit uit onvoldoende cybergovernance. Dat verandert wat een bestuurder moet kunnen: namelijk vragen stellen, beslissen onder onzekerheid, en escaleren wanneer dat moet.

Een goede bestuurstraining is dan ook geen verkorte versie van de medewerkerscursus. Het is een eigen leertraject met strategische onderwerpen, gericht op besluitvorming en oversight, niet op herkenning van een verdachte mail.

De zeven onderwerpen die in 2026 zeker thuishoren

Een werkbare top zeven voor bestuurstraining onder Cbw artikel 24:

  • Cybergovernance en aansprakelijkheid. Wat is de juridische rol van een bestuurder onder Cbw, DORA en AVG, welke beslissingen worden van het bestuur verwacht, en welke documentatie heeft u nodig om aan te tonen dat u uw plicht heeft genomen?
  • Risicoanalyse en -acceptatie. Welk type cyberrisico loopt de organisatie, welke maatregelen zijn genomen, welk restrisico is bewust geaccepteerd? De bestuurder neemt geen technische beslissingen maar tekent voor het risicokader.
  • Het dreigingslandschap op hoofdlijnen. Wat zijn ransomware, BEC, AI-gegenereerde phishing en supply-chain-aanvallen, en welk type schade hebben ze gemiddeld veroorzaakt in vergelijkbare organisaties?
  • Incident response op bestuursniveau. Wat gebeurt er in de eerste 24 uur na een groot incident, welke beslissingen liggen bij het bestuur (wel of niet betalen, klantencommunicatie, melding aan toezichthouder), en hoe oefent u dat vooraf?
  • Compliance-landschap. Cbw, DORA, AVG, AI Act, NEN 7510 in de zorg. Welke gelden voor uw organisatie, welke meldplichten zijn er, en hoe rapporteert het bestuur over naleving?
  • AI-governance. Sinds de EU AI Act februari 2025 in werking trad: welke AI-systemen draaien in de organisatie, welke risicoclassificatie hebben ze, hoe zorgt u voor AI-geletterdheid van medewerkers?
  • Bestuursrapportage en -dashboard. Welke cyberindicatoren komen elk kwartaal terug, hoe interpreteert u een phishing-meldpercentage of een gevoeligheidsscan, welke trends vragen om bijsturing?

Wat juist niet in een bestuurstraining hoort

Een paar onderwerpen die regelmatig wel in bestuurstrainingen opduiken maar er aantoonbaar niet thuishoren:

Technische details over hoe een aanvalsketen werkt. Een bestuurder hoeft niet te weten hoe een buffer overflow werkt of wat een SQL-injection precies doet. Wel hoeft hij te weten dat de CISO maatregelen heeft tegen die categorie en hoe vaak die wordt getoetst.

Operationele incident-procedures. Het playbook voor wie wat doet in welk uur na een ransomware-aanval ligt bij IT en het CSIRT. Het bestuur kent de hoofdlijn en de eigen rol, niet het volledige draaiboek.

Phishing-simulaties op bestuurdersniveau zonder context. Een bestuurder die wordt getest met een phishingmail leert er weinig van; hij heeft te druk een agenda en delegeert beoordeling. Veel zinvoller is een tabletop-oefening waarin een ransomware-scenario besproken wordt aan de bestuurstafel.

Tabletop-oefeningen: het krachtigste onderdeel

Het effectiefste onderdeel van bestuurstraining is geen e-learning maar een tabletop. Een gespecialiseerde facilitator legt een scenario neer ("u krijgt op vrijdagavond bericht dat klantdata is gelekt op een gangbaar lekplatform"), en het bestuur loopt in real time door de beslissingen die volgen: wie informeren, wel of niet betalen, woordvoering, communicatie naar toezichthouders.

Tabletop-oefeningen leveren drie dingen op die andere trainingsvormen niet halen. Eerst: u ontdekt waar het besluitvormingsproces hapert (wie heeft mandaat, wie ontbreekt, welke informatie hebben we niet). Tweede: u oefent het cohesieaspect (samenwerken onder druk verschilt van samenwerken in routine). Derde: u bouwt een gedeelde taal op (na een tabletop weet iedereen wat een "P1-incident" of "containment-fase" betekent).

Een redelijke cadans is twee tabletops per jaar voor het bestuur, met variërende scenario's (ransomware, datalek, AI-misbruik, supply-chain-compromittering). Combineer met jaarlijkse e-learning voor de strategische basisstof.

Communicatie en woordvoering bij een crisis

Vaak ondergewaardeerd onderdeel van bestuurstraining: hoe communiceer je extern tijdens en na een incident? Dit is voor velen onnatuurlijk gebied: bestuurders zijn gewend te sturen op basis van zekerheid, en bij een cyberincident is die er niet.

Drie principes die werken: kort, eerlijk en geconsolideerd. Eén woordvoerder, geen tegenstrijdige berichten uit afdelingen. Open over wat u zeker weet (datum, type aanval, getroffen groep) en duidelijk over wat u nog niet weet ("we onderzoeken nog"). Vermijd onderbouwing met technische jargon richting publiek; intern aan toezichthouders is meer detail wel verstandig.

Onder de Cbw is een datalekmelding binnen 24/72 uur verplicht. Wacht niet op alle feiten; meld op basis van wat u op dat moment weet en vul aan zodra meer bekend is. Ook hier helpt voorbereiding: een vooraf opgesteld communicatiekader (welke onderwerpen wel/niet noemen) versnelt de eerste 24 uur enorm.

Hoe u dit verankert in een awareness-programma

Bestuurstraining moet structureel, niet eenmalig. Praktische opbouw:

Jaarlijkse basismodule (45 tot 60 minuten) over governance, dreigingslandschap, compliance en bestuursrapportage. Specifiek voor de Nederlandse context: Cbw artikel 24 onderdelen, AVG-meldplicht, DORA bij financiële instellingen.

Twee tabletops per jaar met variërende scenario's, gefaciliteerd door een externe partij voor objectiviteit. Documenteer de uitkomst voor audit.

Kwartaalbrief van de CISO aan het bestuur met de stand van cyberrisico, incident-overzicht en lopende veranderingen. Geen dik rapport maar een halve A4. Schept vertrouwdheid met de materie tussen formele trainingsmomenten.

Aantoonbare administratie. Voltooiing per bestuurder, datum en versie van de gevolgde training, deelname aan tabletops. Onder Cbw artikel 24 is dit het bewijs dat u uw zorgvuldigheidsplicht heeft genomen, zowel voor de organisatie als persoonlijk.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de NIS2-pagina

Gerelateerde artikelen

Bronnen

FAQ

Welke onderwerpen horen in een bestuurstraining onder Cbw artikel 24?

Cybergovernance en aansprakelijkheid, risicoanalyse en -acceptatie, dreigingslandschap op hoofdlijnen, incident response op bestuursniveau, compliance-landschap (Cbw, DORA, AVG, AI Act), AI-governance en bestuursrapportage. Operationele details horen er niet in.

Hoe verschilt bestuurstraining van medewerkerstraining?

Een medewerker leert herkennen en handelen; een bestuurder leert sturen, beslissen en oversight uitoefenen. Dezelfde thema's op een ander niveau: niet "hoe herken ik phishing" maar "hoe weet ik dat onze maatregelen tegen phishing werken".

Wat is een tabletop-oefening?

Een gestructureerde oefening waarin een crisis-scenario wordt doorlopen aan de bestuurstafel, met een facilitator die het scenario uitrolt en het bestuur in real time beslissingen laat nemen. Het effectiefste onderdeel van een bestuurstraining; de meeste organisaties doen er twee per jaar.

Moet de bestuurder zelf weten hoe ransomware werkt?

Op hoofdlijnen ja: wat is het effect, welke schade, welke beslissingen volgen. Niet op technisch detailniveau. Het bestuur stuurt op basis van categorieën, niet op aanvalsmethoden.

Wat is het verschil tussen Cbw artikel 24 en de algemene Cbw-trainingsplicht?

Artikel 24 richt zich specifiek op bestuurders: zij moeten persoonlijk getraind zijn in cyberrisico en governance. De algemene trainingsplicht (artikel 21) richt zich op alle medewerkers. Beide gelden gelijktijdig in essentiële en belangrijke entiteiten.

Hoe vaak moet een bestuur worden getraind?

Minimaal jaarlijks een formele basis, plus twee tabletops per jaar en een kwartaal-update van de CISO. Dat is ruim voldoende voor de Cbw-zorgvuldigheidsmaatstaf en houdt het bestuur scherp tussen formele momenten in.

Wat is de persoonlijke aansprakelijkheid onder Cbw artikel 24?

Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor relevante schade voortvloeiend uit het niet voldoen aan de bestuurstrainingsplicht en bredere cybergovernance. Documentatie van afgeronde training is het belangrijkste verdedigingsbewijs.

Externe bron: Digital Trust Center - NIS2

Lees ook
Wat gebeurt er als werknemers geen beveiligingstraining volgen? → Wat is NIS2 awareness? →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen