Moet beveiligingstraining verplicht zijn?

Wat de wet zegt over verplichting

In Nederland en de EU is awareness-training in 2026 in feite verplicht, zonder dat een wet dat woord exact gebruikt. NIS2 en de Cyberbeveiligingswet vereisen een informatiebeveiligingsbeleid met bewustwording en training (artikel 21). De Cbw artikel 24 verplicht bestuurstraining nadrukkelijk. DORA artikel 13 verplicht financiële instellingen tot rolgebaseerde training met effectiviteitsmeting. De EU AI Act artikel 4 verplicht sinds februari 2025 AI-geletterdheid. De AVG verlangt bewustmaking als verwerkersmaatregel (artikel 39).

In de praktijk betekent dit dat een organisatie zonder verplicht basistrainingsprogramma bij elke audit en elk incident in de problemen komt. De vraag is dus niet meer of u training mag verplichten, maar hoe.

Tegelijk zegt geen enkele wet hoe lang de training mag zijn of hoe vaak. Daar zit de ruimte voor uw eigen ontwerp: kort en frequent (microlearning) of lang en jaarlijks. In gedragstermen werkt het eerste aantoonbaar beter, en compliance is met beide vormen te halen.

Waarom pure verplichting alleen niet werkt

Een training die uitsluitend als verplichting wordt gebracht, levert hoge voltooiing op (mensen klikken hem af) maar weinig leereffect. In onderzoek na onderzoek blijkt dat een verplichte module zonder uitleg van het waarom slechter wordt onthouden dan een module die motivatie en uitleg combineert met de plicht.

Tegelijk werkt volledige vrijwilligheid in vrijwel geen enkele organisatie. Met vrijwillige inschrijving zit deelname meestal onder de 30 procent, en de groep die zich inschrijft is precies de groep die toch al het meeste weet. De groep die u het meest wilt bereiken, schrijft zich niet in.

De werkbare middenweg: een verplichte basislaag met heldere uitleg, plus rolgebaseerde aanvullingen die voor de meeste medewerkers logisch en nuttig voelen. Verplichting werkt wanneer hij wordt ervaren als zinnig, niet als bureaucratie.

Drie ingrediënten van een verplichting die mensen accepteren

Wie verplichting wil laten werken, bouwt drie dingen in:

• Uitleg van het waarom. Voor de organisatie (compliance, continuïteit), voor het team (vermijden van incidenten), en voor de medewerker zelf (privé veiliger, eigen verantwoordelijkheid). Pure plicht zonder uitleg krijgt het minste leereffect.
• Redelijke deadlines en eigen tempo. Niet "vandaag nog af", maar enkele weken met vrije momentkeuze. Microlearning-blokken van vier tot acht minuten verspreid over enkele maanden werkt beter dan één lange sessie.
• Aansluiting op de werkelijkheid. Een module die laat zien hoe iemand zijn eigen Netflix- of bankaccount veiliger maakt, voelt minder als verplichting en meer als geschenk. Privé-toepasbaarheid is een sterke hefboom.

Wat te doen met medewerkers die weigeren

Een kleine groep medewerkers verzet zich tegen verplichte training. Drie typen weerstand, drie aanpakken:

De sceptische senior. "Ik werk hier 25 jaar en ben nooit gehackt." Aanpak: erken de ervaring, vraag advies, betrek als ambassadeur. Mensen die zich gehoord voelen, gaan vaak van blokkade naar bondgenoot.

De drukke specialist. "Ik heb hier echt geen tijd voor." Aanpak: maak het zo licht mogelijk (microlearning), geef ruimte om zelf het moment te kiezen. Controle bij de medewerker verlaagt verzet.

De principiële weigeraar. Een zeldzame maar zichtbare groep die op principe weigert. Werk dan via HR, met expliciete uitleg dat onder Cbw en DORA training is gekoppeld aan blijvende toegang tot bepaalde systemen of rollen. Pas dit kader voorzichtig toe: arbeidsrechtelijke beoordeling is hier essentieel.

Sancties en gevolgen: wat is werkbaar?

In de praktijk zijn keiharde sancties bij niet-volgen contraproductief. Wat wél werkt:

Toegangsbeperking tot specifieke systemen totdat de basistraining is afgerond. Werkt het beste voor nieuwe medewerkers (gekoppeld aan onboarding) en bij rolwijziging.

Zichtbaarheid via aggregatie. Voltooiingspercentages per afdeling worden gedeeld in de organisatie. Sociale druk werkt zonder individuele namen te noemen.

Voor het bestuur (Cbw artikel 24) ligt het anders: niet-naleving kan tot persoonlijke aansprakelijkheid leiden, en dat is geen culturele kwestie maar een wettelijke. Hier is documentatie van bestuurstraining cruciaal en niet vrijblijvend.

Wat niet werkt: zichtbare individuele "naming and shaming", verplichte heropleiding bij phishing-klik (ondermijnt meldcultuur), of disciplinaire stappen zonder waarschuwing. Deze maatregelen verlagen meldgedrag sneller dan ze voltooiingspercentage verhogen.

Hoe u dit verankert in een awareness-programma

Een werkbare combinatie van verplichting en motivatie:

Basisprogramma verplicht voor iedereen, jaarlijks, twintig tot dertig minuten totaal in microlearning. Dekt AVG, AUP, Cbw-essentials, AI-geletterdheid. Communiceer expliciet de wettelijke koppeling, dan voelt het minder willekeurig.

Rolgebaseerde aanvullende modules aanbevolen maar niet hard verplicht. Met een goede uitleg waarom (voor uw functie, voor uw team) volgt 70 tot 90 procent vrijwillig.

Bestuurstraining hard verplicht en strak gedocumenteerd. Cbw artikel 24 vraagt aantoonbaarheid; geen werk-in-uitvoering, maar afgerond bewijs per bestuurder.

Phishing-simulaties periodiek voor iedereen, met kort microleren bij klikken, zonder sanctie. Dit is de gedragstraining die voltooiing en leerwaarde combineert.

Eén platform dat alles aantoonbaar maakt: voltooiingspercentages per groep, bestuurstrainingsstatus, gedragsmetingen uit simulaties. Klaar voor audit zonder paniek.

Gerelateerde artikelen

• Compliance-eisen voor awareness-training
• Hoe krijg ik medewerkers zover dat ze training volgen?
• Verschil beveiligingstraining en compliance-training
• Beleid voor aanvaardbaar gebruik (AUP)

Bronnen

• Cyberbeveiligingswet (officiële tekst)
• NIS2-richtlijn (EUR-Lex)
• ISO 27001:2022

FAQ

Moet beveiligingstraining wettelijk verplicht zijn?

In Nederland en de EU is awareness-training in 2026 in feite verplicht via meerdere kaders: NIS2/Cbw, DORA, AVG en de AI Act. Bestuurstraining is onder Cbw artikel 24 expliciet verplicht. Geen kader noemt een specifiek aantal uren.

Werkt verplichte training beter dan vrijwillige?

Niet vanzelf. Pure verplichting zonder uitleg levert vinkjes maar weinig leereffect. Vrijwillige training haalt zelden meer dan 30 procent deelname. De middenweg: verplichte basis met uitleg, plus aanbevolen rolgebaseerde modules.

Wat doe ik met medewerkers die weigeren?

Onderzoek het type weerstand. Een sceptische senior wint u door erkenning, een drukke specialist door ruimte. Een principiële weigeraar vergt overleg met HR en arbeidsrechtelijke beoordeling, vooral wanneer toegang gekoppeld is aan voltooiing.

Mag ik toegang blokkeren als training niet wordt afgerond?

Ja, mits in beleid vastgelegd en proportioneel. Werkt het beste bij specifieke systemen (kritieke applicaties, klantgegevens) en bij rolwijzigingen. Vermijd brede toegangsblokkade bij algemene basistraining; dat verstoort werk meer dan het oplevert.

Wat is de sanctie bij niet-volgen door bestuur?

Onder Cbw artikel 24 kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor relevante schade die voortvloeit uit het niet voldoen aan de bestuurstrainingsplicht. Dit is geen culturele maar een wettelijke kwestie.

Werkt verplichte heropleiding bij phishing-klikken?

Nee, juist averechts. Verplichte heropleiding na klik bestraft het gedrag, ondermijnt meldcultuur, en daarmee uw vroege detectie van echte aanvallen. Een korte uitleg ter plekke is voldoende; sancties zijn schadelijk.

Hoe meet ik of verplichte training werkt?

Combineer voltooiingspercentage met gedragsmetingen uit phishing-simulaties (klik-, meld- en tijd-tot-meldingspercentage). Hoge voltooiing met stabiel gedrag duidt op verplichting zonder leereffect; daling klikpercentage met stijging meldpercentage op succes.