In 2026 staat training in beveiligingsbewustzijn niet langer alleen in een interne richtlijn maar in meerdere wetten en normen tegelijk. De Cyberbeveiligingswet (NIS2), DORA, ISO 27001, de AVG, NEN 7510 en de EU AI Act bevatten elk eigen eisen rond bewustwording en training. Welke is van toepassing op uw organisatie, wat verlangen ze precies, en hoe combineert u die eisen tot één werkbaar programma in plaats van vijf parallelle trajecten?
NIS2 en de Cyberbeveiligingswet: de algemene basis
De Europese NIS2-richtlijn is in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw), die de oude Wbni vervangt. De Cbw geldt voor essentiële en belangrijke entiteiten in onder meer zorg, financieel, energie, drinkwater, digitale infrastructuur, overheid en het volledige hoger onderwijs. Twee artikelen raken awareness direct.
Artikel 21 van de NIS2-richtlijn (geïmplementeerd in artikel 21 Cbw) vereist een informatiebeveiligingsbeleid met expliciet onderdeel bewustwording en training voor medewerkers. Het beleid moet schriftelijk vastliggen en de naleving moet aantoonbaar zijn voor de toezichthouder.
Artikel 20 NIS2 (geïmplementeerd in artikel 24 Cbw) introduceert een bestuurstrainingsplicht. Bestuurders moeten regelmatig opleiding krijgen om cyberrisico's te begrijpen en te kunnen beoordelen. Onder de Cbw is bovendien sprake van persoonlijke aansprakelijkheid: niet-naleving kan tot bestuurlijke boetes en in zware gevallen tot persoonlijke sancties leiden.
DORA voor de financiële sector: lex specialis
Sinds 17 januari 2025 geldt voor alle financiële instellingen in de EU de Digital Operational Resilience Act (DORA). DORA is een verordening, geldt dus rechtstreeks en gaat voor waar zij overlapt met de Cbw.
Artikel 13 DORA verplicht financiële entiteiten tot ICT-bewustzijnsprogramma's en digitale operationele veerkrachttrainingen. De eisen: regelmatige basistraining voor alle medewerkers, aanvullende specialistische training voor kritieke functies, training op maat per rol, periodieke training voor het bestuur, en meting van effectiviteit (niet alleen deelname).
Praktisch betekent dit dat banken, verzekeraars, vermogensbeheerders, betaaldienstverleners en kritieke ICT-leveranciers één integraal programma kunnen bouwen dat DORA dekt, met een kleine aanvulling voor Cbw-specifieke punten zoals de Cbw artikel 24-bestuurstraining.
ISO 27001 en NEN 7510: de norm-eisen rond bewustwording
ISO 27001:2022 bevat in clausule 7.2 een formele verplichting tot bewustwording: het personeel moet zich bewust zijn van het informatiebeveiligingsbeleid, de bijdrage aan de effectiviteit van het ISMS, en de gevolgen van niet-naleving. Annex A.7.2 (controle) breidt dit uit met een geformaliseerd opleidings- en bewustwordingsprogramma.
Voor de zorg geldt aanvullend NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg. NEN 7510 verwijst naar dezelfde principes en eist daarnaast sector-specifieke training over medische gegevens, patiëntveiligheid en samenwerking met ketenpartners.
In de praktijk dekken ISO 27001 en NEN 7510 voor zorgorganisaties bijna dezelfde eisen, met een verschil in nadruk. Wie aantoonbaar voldoet aan ISO 27001:2022 clausule 7.2 en Annex A.7.2, dekt ook het overgrote deel van de Cbw-vereisten op trainingsgebied.
AVG/GDPR: bewustwording als verwerkersmaatregel
De Algemene Verordening Gegevensbescherming (AVG) noemt bewustwording niet zo nadrukkelijk als NIS2 of DORA, maar artikel 39 (taken van de functionaris voor gegevensbescherming) bevat expliciet "het toezien op de naleving" inclusief "bewustmaking en opleiding van het bij de verwerking betrokken personeel".
In de praktijk vraagt de Autoriteit Persoonsgegevens bij elk onderzoek na een datalek naar de stand van uw awareness-programma: welke training is gevolgd, hoe is naleving gemonitord, en hoe heeft u medewerkers geïnstrueerd over hun rol bij persoonsgegevens. Een organisatie zonder vastgelegd programma loopt bij een datalek het risico op een aanvullende boete uitsluitend op grond van onvoldoende bewustwording.
De AVG-eis is daarmee minder gespecificeerd dan NIS2 maar in handhaving even reëel. Aantoonbare jaarlijkse training voor iedereen die met persoonsgegevens werkt, vormt een belangrijke pijler van uw verdedigingslinie.
EU AI Act: AI-geletterdheid sinds februari 2025
Sinds 2 februari 2025 verplicht artikel 4 van de EU AI Act elke organisatie die AI-systemen gebruikt tot het zorgen voor AI-geletterdheid bij medewerkers en bij personen die in opdracht AI-systemen bedienen. Dat geldt voor zowel ontwikkelaars als gebruikers, voor zowel risicovolle AI-systemen als gewone systemen.
Concreet betekent dit dat uw awareness-programma in 2026 een AI-component moet bevatten: wat is AI, welke risico's zijn er, welke goedgekeurde AI-diensten zijn er binnen uw organisatie, wat zijn de grenzen van AI-gebruik, en welke gevoelige gegevens mag u niet in publieke AI-systemen invoeren. De eis is open in vorm maar strikt in werking.
Bouw deze AI-module in uw bestaande awareness-jaarplan. Dat voorkomt dat de AI Act een los project wordt, en zorgt dat AI-bewustzijn naadloos aansluit op de algemene cyber-awareness. In de praktijk werkt dit het beste als een module van vier tot zes minuten, jaarlijks geactualiseerd in lijn met nieuwe goedgekeurde diensten.
Hoe u alle eisen in één werkbaar programma combineert
Niet vijf afzonderlijke programma's, één integraal jaarplan dat de eisen samenneemt. De praktische opbouw:
- Basisprogramma voor alle medewerkers. Phishing, wachtwoorden, fysieke beveiliging, AI-geletterdheid, gegevensbescherming. Dekt NIS2 art. 21 en Cbw, AVG, AI Act art. 4 en de basis van ISO 27001 clausule 7.2.
- Rolgebaseerde verdiepingsmodules. Voor financieel: CEO-fraude, BEC, verificatieprotocollen. Voor IT: incidentrespons, MFA-bypass. Voor HR: AVG bij werving, AI Act bij selectie. Voor zorg: patiëntgegevens (NEN 7510).
- Bestuurstraining. Periodiek voor het bestuur, met focus op cyberrisico's, governance en aansprakelijkheid. Dekt Cbw artikel 24 en DORA artikel 13 (bestuursdeel).
- Periodieke phishing-simulaties. Vier tot zes per jaar, met moderne vormen (smishing, quishing, AitM). Levert het meetbare gedragsbewijs voor toezichthouders.
- Aantoonbare administratie. Eén centraal platform met deelname, voltooiing, simulatieresultaten en bestuursdeelname, klaar voor inspectie.
Wat de toezichthouders concreet vragen
Toezichthouders (RDI, DNB, AFM, IGJ, AP) vragen bij een audit of incident in toenemende mate naar dezelfde drie elementen: een vastgelegd beleid dat trainingsdoelen formuleert, een uitvoeringsbewijs (welke modules door welke groepen zijn afgerond), en een effectiviteitsbewijs (welke meetbare verbetering is gerealiseerd, meestal via phishing-simulaties).
Het is cruciaal om die drie elementen niet pas op te bouwen na een incident. Een goed awareness-platform legt de administratie standaard vast en levert auditrapportages op aanvraag. Voor de Cbw geldt bovendien een meldplicht binnen 24/72 uur bij significante incidenten; zonder dossier kunt u op dat moment niet zinnig reageren.
Een laatste praktische tip: actualiseer beleid en programma minstens jaarlijks. De wet wijzigt (de Cbw is gefaseerd in werking getreden, de AI Act idem) en de bedreigingen evolueren. Een statische map op de SharePoint is bij een audit zelden voldoende; wel is het een levend programma dat aantoonbaar wordt bijgehouden.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de NIS2-paginaGerelateerde artikelen
- Wat is de Cyberbeveiligingswet (Cbw)?
- Cbw artikel 24: bestuurstraining
- ISO 27001 awareness-eisen praktisch uitgelegd
- DORA voor financiële instellingen
Bronnen
- Cyberbeveiligingswet (officiële tekst)
- NIS2-richtlijn (EUR-Lex)
- EU AI Act artikel 4 (AI-geletterdheid)
FAQ
Is awareness-training wettelijk verplicht in Nederland?
Ja, in meerdere kaders tegelijk. NIS2/Cbw (artikel 21 en 24), DORA (artikel 13) voor financieel, AVG (artikel 39), ISO 27001 (clausule 7.2) en de EU AI Act (artikel 4, AI-geletterdheid) eisen elk vormen van bewustwording en training.
Welke eis is het zwaarst?
Voor financiële instellingen is DORA het zwaarst, met expliciete eisen aan inhoud, frequentie en effectiviteitsmeting. Voor andere essentiële en belangrijke entiteiten is de Cbw leidend, met bestuurstrainingsplicht en persoonlijke aansprakelijkheid van bestuurders.
Wat is artikel 24 van de Cbw?
Artikel 24 Cbw verplicht het bestuur tot regelmatige training over cyberrisico's en governance. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving en relevante schade. Dit is een directe omzetting van artikel 20 van de NIS2-richtlijn.
Wat is AI-geletterdheid onder de EU AI Act?
Artikel 4 EU AI Act vereist sinds 2 februari 2025 dat organisaties medewerkers en derden die AI bedienen geletterd maken in AI: wat het is, welke risico's er zijn, hoe ze het verantwoord gebruiken en welke gegevens niet in publieke systemen horen.
Hoeveel uur training per jaar is voldoende?
Geen enkel kader noemt een specifiek aantal uren. In de praktijk werkt 20 tot 30 minuten per medewerker per jaar (opgeknipt in microlearning) goed, plus rolspecifieke verdieping en bestuurstraining. Belangrijk is dat naleving aantoonbaar is, niet dat het uren-aantal hoog is.
Moet ik het bewijs van training zelf opslaan?
Ja, en het moet bij audit beschikbaar zijn. Een goed awareness-platform houdt deelname, voltooiing, scores en simulatieresultaten automatisch bij. Onder de Cbw is een papieren administratie geen acceptabel uitgangspunt meer voor middelgrote en grote organisaties.
Kan ik één programma bouwen dat alle eisen dekt?
Ja, en dat is in de praktijk ook de werkbare aanpak. Eén basisprogramma voor alle medewerkers, rolgebaseerde modules voor financieel, IT, HR en zorg, en bestuurstraining samen dekken NIS2, Cbw, DORA, AVG, ISO 27001 en de AI Act. Vermijd vijf parallelle trajecten; één integraal jaarplan werkt veel beter.
Externe bron: Digital Trust Center - NIS2