Artikel 24 van de Cyberbeveiligingswet (Cbw) verplicht bestuurders van Cbw-pflichtige organisaties om aantoonbaar cybersecurity-training te volgen — én legt persoonlijke aansprakelijkheid bij verwijtbare nalatigheid. Dit is een directe vertaling van NIS2 artikel 20. Wie valt eronder, wat moet de training inhouden, hoe documenteer je het, en wat zijn de gevolgen bij niet-naleving? In dit artikel: alles wat het CvB en de RvT over Cbw art. 24 moeten weten.
Voor wie geldt de bestuurstrainingsplicht?
De training-eis uit Cbw art. 24 geldt voor "personen die behoren tot het orgaan dat de leiding heeft" van een Cbw-pflichtige organisatie. In Nederlandse termen vertaalt dit naar:
- Raden van Bestuur (uitvoerend bestuur)
- Raden van Toezicht en Raden van Commissarissen (toezichthoudend bestuur)
- Directies en directeur-grootaandeelhouders bij entiteiten zonder formele RvB
- Wethouders, gedeputeerden en leden van het dagelijks bestuur bij overheidsentiteiten
- CvB-leden bij universiteiten en hogescholen (hoger onderwijs valt onder de Cbw)
Wat moet de training inhouden?
De Cbw schrijft geen specifieke curriculum voor, maar het Cyberbeveiligingsbesluit (Cbb) en de toezichthouders hebben richtlijnen ontwikkeld. De training moet bestuurders in staat stellen om cybersecurityrisico's te identificeren en de impact daarvan op de organisatie en haar diensten te beoordelen.
In de praktijk betekent dit dat een goede bestuurstraining minimaal de volgende thema's behandelt: actuele dreigingsbeeld (ransomware, social engineering, supply chain), Cbw-verplichtingen en governance-rol, persoonlijke aansprakelijkheid, melding en escalatie van significante incidenten, en het vertalen van technisch risico naar bedrijfsstrategie.
Belangrijk: training moet aantoonbaar gericht zijn op besluitvormers. Een algemeen security awareness e-learning-traject voor medewerkers voldoet niet — bestuurders hebben training nodig op governance-niveau, niet op gebruikersniveau.
Frequentie en omvang
Cbw art. 24 spreekt over "regelmatig". In de praktijk-richtlijnen van toezichthouders is dit vertaald naar een minimum van één formele trainingssessie per jaar per bestuurder, aangevuld met tussentijdse updates bij relevante incidenten of regelgevingswijzigingen.
De totale tijdsinvestering voor een sluitend programma is meestal 4-8 uur per bestuurder per jaar: 2-3 uur initiële training, 2-3 uur herhaling/verdieping, en 1-2 uur scenario-oefening of table-top. Dit kan in losse korte sessies van 30-60 minuten — beter dan één lange jaarsessie.
Nieuwe bestuurders moeten binnen 6 maanden na aantreden volledig getraind zijn. Voor bestaande bestuurders geldt typisch een ingroeiperiode van 12-24 maanden vanaf inwerkingtreding van de Cbw, daarna jaarlijkse herhaling.
Documentatie en bewijslast
Bewijsvoering is essentieel: bij toezicht-acties is de eerste vraag bijna altijd "laat zien dat het bestuur is getraind". Wat moet je vastleggen?
- Per bestuurslid: naam, datum training, inhoud, duur, leverancier, bewijs van afronding (certificaat of platform-log)
- Per organisatie: trainingsplanning voor lopend en volgend boekjaar, gekoppeld aan benoemingen en herbenoemingen
- Per agenda: bestuursvergaderingen waarin cybersecurity is besproken, met notulen die laten zien dat het onderwerp behandeld is
- Per incident: wanneer het bestuur is geïnformeerd, welke beslissing is genomen, welke vervolgactie is afgesproken
- Niet-wijzigbare logs (timestamps + audit-trail) zijn aanzienlijk sterker dan losse certificaten of e-mails
Persoonlijke aansprakelijkheid — wat betekent dat concreet?
Cbw art. 24 introduceert directe persoonlijke aansprakelijkheid voor bestuurders bij verwijtbare nalatigheid in cybersecurity. Dit is een breuk met het oude regime waarin alleen de organisatie aansprakelijk was.
Concreet kunnen toezichthouders in ernstige gevallen: persoonlijke boetes opleggen, bestuurders tijdelijk uit hun functie ontheffen, en bij vermoeden van strafbare feiten (zoals het bewust achterhouden van incidentmeldingen) doorverwijzen naar het Openbaar Ministerie. Civielrechtelijke aansprakelijkheid is daarnaast mogelijk voor schade aan derden.
"Verwijtbaar" houdt typisch in: weten of redelijkerwijs moeten weten dat een risico aanwezig is, en geen passende maatregelen treffen. Een bestuurder die kan aantonen dat hij/zij training heeft gevolgd, het risico op de agenda heeft gezet, en redelijke beslissingen heeft genomen, is meestal beschermd. Een bestuurder die nooit is getraind en cybersecurity stelselmatig delegeert zonder eigen oordeel, niet.
Veelgemaakte fouten
In de eerste implementatieronde zien toezichthouders dezelfde patronen die als verwijtbare nalatigheid kunnen worden uitgelegd:
- Generieke awareness-modules gebruiken voor het bestuur in plaats van governance-specifieke training. Dat is "een tickbox", niet aantoonbare bestuurstraining.
- Cybersecurity volledig delegeren aan de CISO zonder dat het bestuur zich vergewist van de stand van zaken. De Cbw eist actieve sturing, niet alleen formele goedkeuring.
- Geen documentatie van bestuursvergaderingen waarin cybersecurity is besproken. Geen agenda-item = geen aandacht in toezichtsperspectief.
- Verwarring tussen "compliance" en "veiligheid". Een organisatie kan "Cbw-compliant" zijn op papier en tegelijk in de praktijk kwetsbaar. Bestuurders moeten beide kunnen onderscheiden.
- Late onboarding van nieuwe bestuurders — als een nieuwe bestuurder pas na 12 maanden training volgt, ontstaat een gap die direct aantoonbaar is bij audit.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar Cbw-programma met training, phishing simulatie en bestuursrapportage.
Bekijk de Cbw / NIS2-paginaGerelateerd in de kennisbank
Bronnen
FAQ
Kan de bestuurstraining online?
Ja. Cbw art. 24 schrijft geen specifieke vorm voor. Online training, hybride sessies en klassikale workshops zijn alle aanvaardbaar zolang ze aantoonbaar zijn afgerond en de juiste inhoud bevatten. Veel bestuurders kiezen korte modules van 30-60 minuten omdat dat past in hun agenda.
Geldt dit ook voor de Raad van Toezicht of de Raad van Commissarissen?
Ja. De Cbw spreekt over "het orgaan dat de leiding heeft", wat in Nederland zowel het uitvoerend bestuur (RvB) als het toezichthoudend bestuur (RvT, RvC) omvat. Beide moeten training volgen, eventueel met andere accenten — het toezichthoudend orgaan focust meer op governance, het uitvoerend orgaan op operationele beslissingen.
Wat als een bestuurder weigert training te volgen?
Dat is in formele zin een nalatigheid van de organisatie en in materiële zin van de bestuurder zelf. De RvT kan en moet hierop ingrijpen. Bij doorzettende weigering kan de Algemene Vergadering de bestuurder afzetten; in extreme gevallen kunnen toezichthouders tussenbeide komen.
Telt een MBA met cybersecurity-vak?
Niet automatisch. De training moet aantoonbaar gericht zijn op de cyber-rol van een Cbw-bestuurder. Een algemeen MBA-vak voldoet zelden aan de specificiteit die toezichthouders verwachten. Specifieke "board cyber training" met Cbw-context is sterker.
Wat is een redelijk budget voor bestuurstraining?
Per bestuurder typisch €500-€2.000 per jaar voor een professioneel programma met certificering, e-learning, en jaarlijkse update-sessie. Voor kleinere organisaties zijn sectorale collectieve programma's vaak voordeliger; voor grotere organisaties kan een interne governance-academy efficiënter zijn.
Wat is het verschil met Cbw art. 21 awareness?
Cbw art. 21 vereist algemene awareness-training voor alle medewerkers. Cbw art. 24 vereist specifiek bestuurstraining. Beide zijn verplicht en complementair: medewerkers leren risico's herkennen, bestuurders leren risico's sturen. In de praktijk zijn dit twee verschillende programma's — niet één gedeeld traject.