Wat zijn de awareness-verplichtingen onder NIS2 / de Cbw?

Artikel 20 verplicht bestuurstraining in cyberrisico's. Artikel 21 verplicht informatiebeveiligingsbeleid inclusief medewerkersbewustmaking. Beide vereisen aantoonbare naleving.

Welke sectoren vallen onder de Cyberbeveiligingswet?

Energie, transport, gezondheidszorg, financiën, drinkwater, digitale infrastructuur, overheid, ruimtevaart en meer. Controleer via de NIS2-zelfevaluatietool van het NCSC of uw organisatie verplicht is.

Hoe kan 2LRN4 helpen bij Cbw-compliance?

2LRN4 levert een aantoonbaar trainingsprogramma voor zowel bestuur (Art. 20) als medewerkers (Art. 21), inclusief rapportages die als bewijs dienen bij toezichthouders.

NIS2 rollen en verantwoordelijkheden rondom awareness

NIS2 artikel 20 en 21 beschrijven de governance- en risicobeheersmaatregelen die elke onder NIS2 vallende organisatie moet treffen. In Nederland zijn deze verplichtingen omgezet in de Cyberbeveiligingswet (Cbw) artikelen 21 en 24; in België in de NIS2-wet van 26 april 2024. Effectieve awareness vergt een duidelijke rolverdeling: het bestuur stuurt en is aansprakelijk, de CISO coördineert, IT en HR voeren uit, en het incident response team handelt af. Dit artikel beschrijft de rollen per nationale wet en biedt een referentiekader om je eigen RACI op te stellen.

Bestuur: aansturen en verantwoorden

Onder Cbw artikel 24 en NIS2 artikel 20 lid 1 en 2 is de directe verantwoordelijkheid voor cyberbeveiliging belegd bij het hoogste leidinggevende orgaan: de Raad van Bestuur, de directie of een vergelijkbaar orgaan. Het bestuur moet de risicobeheersmaatregelen goedkeuren, de uitvoering actief superviseren en zelf regelmatig training volgen die geschikt is om cyberrisico's te identificeren en de impact op de organisatie te beoordelen.

Persoonlijke aansprakelijkheid bij verwijtbare nalatigheid is een directe consequentie. In de praktijk betekent dit dat het bestuur cybersecurity als vast agendapunt opneemt, beslissingen documenteert in de notulen en zich vergewist van de stand van de implementatie. Volledige delegatie aan de CISO is geen geldige strategie; het bestuur moet zelf inhoudelijk kunnen meepraten.

Bij grotere organisaties wijst het bestuur vaak één lid aan als bestuurder verantwoordelijk voor cybersecurity. Deze fungeert als sponsor van het programma, eindgebruiker van rapportages en eerste aanspreekpunt voor toezichthouders. De aansprakelijkheid blijft echter collectief, niet alleen bij die ene bestuurder.

CISO of Information Security Officer: coördineren en rapporteren

De CISO (Chief Information Security Officer) of, bij kleinere organisaties, de Information Security Officer (ISO) of Security Officer is operationeel verantwoordelijk voor het opstellen, onderhouden en bewaken van het cybersecurity-beleid. Onder Cbw artikel 21 moet deze rol expliciet zijn ingevuld, met voldoende mandaat en toegang tot het bestuur.

Concrete taken: risicoanalyses uitvoeren, het ISMS (Information Security Management System) onderhouden, awareness-programma's laten ontwikkelen, KPI's definiëren en rapporteren aan het bestuur, contact onderhouden met toezichthouders zoals de RDI, IGJ of DNB, en incidenten coördineren samen met IT en juridische zaken.

Belangrijk: de CISO is geen uitvoerder van technische maatregelen, dat is IT-beheer. De CISO is de tweede lijn: stelt eisen, controleert en rapporteert. Voor kleinere organisaties kan deze rol gecombineerd worden met DPO of risk officer, mits onafhankelijkheid en mandaat geborgd zijn.

IT-beheer en CSIRT/IRT

Het IT-beheer (interne IT-afdeling of externe managed service provider) voert de technische maatregelen uit: patchen, segmenteren, monitoren, back-up en herstel, identity en access management, en endpoint-beveiliging. Onder Cbw artikel 21 vallen deze onder de "passende en evenredige technische, operationele en organisatorische maatregelen".

Het Incident Response Team (IRT) of CSIRT (Computer Security Incident Response Team) handelt incidenten af, van detectie tot herstel en evaluatie. Onder Cbw artikel 25 geldt een meldingsplicht in drie fasen: vroege waarschuwing binnen 24 uur, tussenrapportage binnen 72 uur, eindrapport binnen één maand. Het IRT moet beschikken over playbooks, een 24/7-bereikbaarheidsregeling en oefenen via table-tops.

In Nederland kan het IRT samenwerken met sectorale CSIRTs en met het Nationaal Cyber Security Centrum (NCSC) bij grote incidenten. Voor essentiële entiteiten is aansluiting bij een sectoraal informatieknooppunt vaak nuttig (Z-CERT voor zorg, FI-ISAC voor financieel, SURF voor hoger onderwijs).

HR, communicatie en awareness-lead

De awareness-verplichting uit Cbw artikel 21 is geen pure IT-taak. HR is verantwoordelijk voor het verankeren van security in het personeelsbeleid: introductietraining voor nieuwe medewerkers, jaarlijkse herhaling, registratie van voltooiing in het personeelssysteem, en consequenties bij structurele non-compliance.

De awareness-lead of programmamanager (vaak gepositioneerd onder CISO of HR) ontwerpt en coördineert het programma: contentkeuze, planning, phishing-simulaties, communicatie en rapportage. Voor grotere organisaties is dit een aparte rol; voor kleinere kan deze worden gecombineerd met CISO of communicatie.

Daarnaast benoemen veel organisaties risk owners per business unit: lijnmanagers die verantwoordelijk zijn voor de risico's in hun eigen processen en die de awareness-boodschap vertalen naar de werkvloer. Dit voorkomt dat security een verantwoordelijkheid blijft van de centrale staf alleen.

En in België? De rolverdeling onder de Belgische NIS2-wet

In België legt de NIS2-wet van 26 april 2024 dezelfde governance-structuur op als de Nederlandse Cbw, met aanvullende rolinvulling vanuit het Centre for Cybersecurity Belgium (CCB). Het CCB fungeert als nationaal coördinatiepunt, CSIRT en handhaver, en publiceert sector-specifieke richtlijnen via de CyberFundamentals-baseline.

Bestuursverantwoordelijkheid is verankerd in artikel 30 van de Belgische NIS2-wet: het leidinggevend orgaan moet de risicobeheersmaatregelen goedkeuren, toezicht houden op de uitvoering en zelf training volgen. Sancties tot €10 miljoen of 2% van de wereldwijde omzet zijn mogelijk voor essentiële entiteiten.

Sectorale autoriteiten in België vullen het toezicht aan: FSMA voor de financiële sector, FOD Volksgezondheid voor zorginstellingen, BIPT voor telecommunicatie. Nederlandse organisaties met Belgische dochterondernemingen moeten controleren onder welk regime de Belgische activiteiten vallen; de hoofdvestiging-regel uit NIS2 artikel 26 is daarbij leidend, maar sectorale verplichtingen kunnen parallel gelden.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de NIS2-pagina

Bronnen

FAQ

Moeten alle bestuurders training volgen of alleen de aangewezen bestuurder cybersecurity?

Cbw artikel 24 en NIS2 artikel 20 lid 2 zijn duidelijk: alle leden van het leidinggevend orgaan moeten regelmatig training volgen. Een aangewezen "bestuurder cybersecurity" kan als sponsor en aanspreekpunt functioneren, maar ontslaat de overige bestuurders niet van hun individuele trainingsplicht en hun collectieve aansprakelijkheid.

Wat is het verschil tussen CISO en DPO?

De CISO is verantwoordelijk voor informatiebeveiliging in brede zin (vertrouwelijkheid, integriteit, beschikbaarheid), de DPO (Functionaris Gegevensbescherming) ziet specifiek toe op naleving van de AVG bij verwerkingen van persoonsgegevens. Beide rollen kunnen samenwerken, maar moeten organisatorisch onafhankelijk blijven om belangenconflicten te voorkomen.

Kan een externe partij de CISO-rol vervullen?

Ja, een CISO-as-a-Service-constructie is mogelijk en voor kleinere Cbw-pflichtige organisaties vaak praktisch. Voorwaarden: voldoende beschikbaarheid, duidelijk mandaat, rapportagelijn rechtstreeks aan het bestuur, en geen belangenconflict met andere dienstverlening (bijvoorbeeld de leverancier van de SOC-dienst). Onder Cbw artikel 21 blijft het bestuur eindverantwoordelijk.

Wie meldt een incident aan de toezichthouder?

Procedureel doet het Incident Response Team de melding, met goedkeuring van de CISO en informatie aan het bestuur. Juridisch is de organisatie de meldingsplichtige; de specifieke ondertekenaar verschilt per toezichthouder. In Nederland gaat de melding via het CSIRT-DSP, het NCSC of de sectorale toezichthouder (RDI, IGJ, DNB). In België gaat de melding via het CCB-meldpunt.

Hoe documenteer ik de rolverdeling voor een audit?

Stel een RACI-matrix op (Responsible, Accountable, Consulted, Informed) voor de Cbw-verplichtingen, koppel deze aan functiebeschrijvingen, en leg de bestuurdersaansprakelijkheid vast in een bestuursbesluit. Vermeld de rollen in het ISMS-handboek en in het incident response plan. Bij audits is de combinatie van RACI plus bestuursbesluit het sterkste bewijs.

Moet HR ook training over Cbw-verplichtingen krijgen?

Ja, in elk geval de HR-medewerkers die awareness-trainingen plannen of registreren. Zij moeten weten welk bewijs nodig is voor een Cbw-audit (deelnamelogs, certificaten, herhaalfrequentie) en hoe nieuwe medewerkers binnen redelijke termijn (typisch 30-90 dagen) hun initiële training krijgen. Een korte governance-briefing van 60 minuten volstaat meestal.