2LRN4 security awareness platform
← Terug naar overzicht

Cbw artikel 24: bestuurstrainingsplicht uitgelegd

Praktische uitleg over cbw artikel 24 bestuurstraining voor organisaties die veilig gedrag structureel willen verbeteren.

Artikel 24 van de Cyberbeveiligingswet (Cbw) verplicht bestuurders van Cbw-pflichtige organisaties om aantoonbaar cybersecurity-training te volgen, én legt persoonlijke aansprakelijkheid bij verwijtbare nalatigheid. Dit is een directe vertaling van NIS2 artikel 20. Wie valt eronder, wat moet de training inhouden, hoe documenteer je het, en wat zijn de gevolgen bij niet-naleving? In dit artikel: alles wat het CvB en de RvT over Cbw art. 24 moeten weten.

Voor wie geldt de bestuurstrainingsplicht?

De training-eis uit Cbw art. 24 geldt voor "personen die behoren tot het orgaan dat de leiding heeft" van een Cbw-pflichtige organisatie. In Nederlandse termen vertaalt dit naar:

  • Raden van Bestuur (uitvoerend bestuur)
  • Raden van Toezicht en Raden van Commissarissen (toezichthoudend bestuur)
  • Directies en directeur-grootaandeelhouders bij entiteiten zonder formele RvB
  • Wethouders, gedeputeerden en leden van het dagelijks bestuur bij overheidsentiteiten
  • CvB-leden bij universiteiten en hogescholen (hoger onderwijs valt onder de Cbw)

Wat moet de training inhouden?

De Cbw schrijft geen specifieke curriculum voor, maar het Cyberbeveiligingsbesluit (Cbb) en de toezichthouders hebben richtlijnen ontwikkeld. De training moet bestuurders in staat stellen om cybersecurityrisico's te identificeren en de impact daarvan op de organisatie en haar diensten te beoordelen.

In de praktijk betekent dit dat een goede bestuurstraining minimaal de volgende thema's behandelt: actuele dreigingsbeeld (ransomware, social engineering, supply chain), Cbw-verplichtingen en governance-rol, persoonlijke aansprakelijkheid, melding en escalatie van significante incidenten, en het vertalen van technisch risico naar bedrijfsstrategie.

Belangrijk: training moet aantoonbaar gericht zijn op besluitvormers. Een algemeen security awareness e-learning-traject voor medewerkers voldoet niet, bestuurders hebben training nodig op governance-niveau, niet op gebruikersniveau.

Frequentie en omvang

Cbw art. 24 spreekt over "regelmatig". In de praktijk-richtlijnen van toezichthouders is dit vertaald naar een minimum van één formele trainingssessie per jaar per bestuurder, aangevuld met tussentijdse updates bij relevante incidenten of regelgevingswijzigingen.

De totale tijdsinvestering voor een sluitend programma is meestal 4-8 uur per bestuurder per jaar: 2-3 uur initiële training, 2-3 uur herhaling/verdieping, en 1-2 uur scenario-oefening of table-top. Dit kan in losse korte sessies van 30-60 minuten, beter dan één lange jaarsessie.

Nieuwe bestuurders moeten binnen 6 maanden na aantreden volledig getraind zijn. Voor bestaande bestuurders geldt typisch een ingroeiperiode van 12-24 maanden vanaf inwerkingtreding van de Cbw, daarna jaarlijkse herhaling.

Documentatie en bewijslast

Bewijsvoering is essentieel: bij toezicht-acties is de eerste vraag bijna altijd "laat zien dat het bestuur is getraind". Wat moet je vastleggen?

  • Per bestuurslid: naam, datum training, inhoud, duur, leverancier, bewijs van afronding (certificaat of platform-log)
  • Per organisatie: trainingsplanning voor lopend en volgend boekjaar, gekoppeld aan benoemingen en herbenoemingen
  • Per agenda: bestuursvergaderingen waarin cybersecurity is besproken, met notulen die laten zien dat het onderwerp behandeld is
  • Per incident: wanneer het bestuur is geïnformeerd, welke beslissing is genomen, welke vervolgactie is afgesproken
  • Niet-wijzigbare logs (timestamps + audit-trail) zijn aanzienlijk sterker dan losse certificaten of e-mails

Persoonlijke aansprakelijkheid, wat betekent dat concreet?

Cbw art. 24 introduceert directe persoonlijke aansprakelijkheid voor bestuurders bij verwijtbare nalatigheid in cybersecurity. Dit is een breuk met het oude regime waarin alleen de organisatie aansprakelijk was.

Concreet kunnen toezichthouders in ernstige gevallen: persoonlijke boetes opleggen, bestuurders tijdelijk uit hun functie ontheffen, en bij vermoeden van strafbare feiten (zoals het bewust achterhouden van incidentmeldingen) doorverwijzen naar het Openbaar Ministerie. Civielrechtelijke aansprakelijkheid is daarnaast mogelijk voor schade aan derden.

"Verwijtbaar" houdt typisch in: weten of redelijkerwijs moeten weten dat een risico aanwezig is, en geen passende maatregelen treffen. Een bestuurder die kan aantonen dat hij/zij training heeft gevolgd, het risico op de agenda heeft gezet, en redelijke beslissingen heeft genomen, is meestal beschermd. Een bestuurder die nooit is getraind en cybersecurity stelselmatig delegeert zonder eigen oordeel, niet.

Veelgemaakte fouten

In de eerste implementatieronde zien toezichthouders dezelfde patronen die als verwijtbare nalatigheid kunnen worden uitgelegd:

  • Generieke awareness-modules gebruiken voor het bestuur in plaats van governance-specifieke training. Dat is "een tickbox", niet aantoonbare bestuurstraining.
  • Cybersecurity volledig delegeren aan de CISO zonder dat het bestuur zich vergewist van de stand van zaken. De Cbw eist actieve sturing, niet alleen formele goedkeuring.
  • Geen documentatie van bestuursvergaderingen waarin cybersecurity is besproken. Geen agenda-item = geen aandacht in toezichtsperspectief.
  • Verwarring tussen "compliance" en "veiligheid". Een organisatie kan "Cbw-compliant" zijn op papier en tegelijk in de praktijk kwetsbaar. Bestuurders moeten beide kunnen onderscheiden.
  • Late onboarding van nieuwe bestuurders, als een nieuwe bestuurder pas na 12 maanden training volgt, ontstaat een gap die direct aantoonbaar is bij audit.

En in België?

Voor Nederlandstalige bestuurders met activiteiten in België is het goed te weten dat de Belgische NIS2-wet van 26 april 2024 een vergelijkbare bestuursverantwoordelijkheid oplegt. De Belgische wetgever heeft de verplichtingen uit NIS2 artikel 20 vrijwel letterlijk overgenomen: het bestuursorgaan moet de risicobeheersmaatregelen goedkeuren, toezicht houden op de uitvoering en zelf een passende opleiding volgen.

Het toezicht in België ligt bij het Centre for Cybersecurity Belgium (CCB), dat ook als nationaal CSIRT optreedt. Het CCB heeft een referentiekader gepubliceerd (CyberFundamentals) dat in de praktijk als invulling van de zorgplicht wordt gehanteerd. Voor essentiële entiteiten loopt het toezicht actief, voor belangrijke entiteiten reactief.

De Belgische sancties komen overeen met de NIS2-richtlijn: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en persoonlijke aansprakelijkheid van bestuurders bij ernstige nalatigheid. Voor groepen die in beide landen actief zijn, loont het de moeite om bestuurstraining éénmaal grondig op te zetten en dezelfde bewijsvoering te gebruiken voor zowel Cbw art. 24 als de Belgische NIS2-wet.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar security-awarenessprogramma met meetbare resultaten.

Bekijk de NIS2-pagina

Gerelateerde artikelen

Bronnen

FAQ

Kan de bestuurstraining online?

Ja. Cbw art. 24 schrijft geen specifieke vorm voor. Online training, hybride sessies en klassikale workshops zijn alle aanvaardbaar zolang ze aantoonbaar zijn afgerond en de juiste inhoud bevatten. Veel bestuurders kiezen korte modules van 30-60 minuten omdat dat past in hun agenda.

Geldt dit ook voor de Raad van Toezicht of de Raad van Commissarissen?

Ja. De Cbw spreekt over "het orgaan dat de leiding heeft", wat in Nederland zowel het uitvoerend bestuur (RvB) als het toezichthoudend bestuur (RvT, RvC) omvat. Beide moeten training volgen, eventueel met andere accenten, het toezichthoudend orgaan focust meer op governance, het uitvoerend orgaan op operationele beslissingen.

Wat als een bestuurder weigert training te volgen?

Dat is in formele zin een nalatigheid van de organisatie en in materiële zin van de bestuurder zelf. De RvT kan en moet hierop ingrijpen. Bij doorzettende weigering kan de Algemene Vergadering de bestuurder afzetten; in extreme gevallen kunnen toezichthouders tussenbeide komen.

Telt een MBA met cybersecurity-vak?

Niet automatisch. De training moet aantoonbaar gericht zijn op de cyber-rol van een Cbw-bestuurder. Een algemeen MBA-vak voldoet zelden aan de specificiteit die toezichthouders verwachten. Specifieke "board cyber training" met Cbw-context is sterker.

Wat is een redelijk budget voor bestuurstraining?

Per bestuurder typisch €500-€2.000 per jaar voor een professioneel programma met certificering, e-learning, en jaarlijkse update-sessie. Voor kleinere organisaties zijn sectorale collectieve programma's vaak voordeliger; voor grotere organisaties kan een interne governance-academy efficiënter zijn.

Wat is het verschil met Cbw art. 21 awareness?

Cbw art. 21 vereist algemene awareness-training voor alle medewerkers. Cbw art. 24 vereist specifiek bestuurstraining. Beide zijn verplicht en complementair: medewerkers leren risico's herkennen, bestuurders leren risico's sturen. In de praktijk zijn dit twee verschillende programma's, niet één gedeeld traject.

Geldt de Cbw ook voor Vlaamse vestigingen van Nederlandse groepen?

Nee. Een vestiging in Vlaanderen valt onder de Belgische NIS2-wet en het toezicht van het CCB, niet onder de Nederlandse Cbw. Voor een groep met activiteiten in beide landen geldt dus dat de bestuursverplichtingen vergelijkbaar zijn, maar dat de toezichthouder en de meldpunten verschillen. Praktisch raden veel groepen aan om één gedeeld bestuurstrainingsprogramma op te zetten en de bewijsvoering apart te exporteren per jurisdictie.

Wil je hulp bij implementatie?

Plan een korte demo of bespreek jouw use case. We reageren snel.

Plan een demo Bekijk support