Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

CBWeetje: Kosteloos voorbereiden op de Cyberbeveiligingswet

Artikel 26 van de Cyberbeveiligingswet gaat over governance in relatie tot de zorgplicht, oftewel over opleidingen voor bestuurders. Bestuurders moeten toezien op de uitvoering van maatregelen die bij de zorgplicht genoemd worden.

Het wetsartikel stelt eisen aan bestuurders op het gebied van risicomanagement en cyberbeveiliging. De eisen gelden voor alle bestuurders. Daarnaast moet de opleiding worden afgerond en met een deelnamecertificaat kunnen worden aangetoond. De wet vereist ook dat bestuurders hun kennis en vaardigheden voortdurend up-to-date houden.

We hebben bij Z-CERT een paar observaties:

  • Zorgaanbieders en brancheorganisaties in de zorg vragen ons regelmatig of Z-CERT de opleiding kan geven. Men besteedt het geld voor de zorg liever aan de zorg, dan aan dure commerciële opleidingsinstituten of trainingsorganisaties. Het idee is (bedankt voor het vertrouwen!) dat Z-CERT een goede opleiding kan verzorgen met relevante voorbeelden uit de zorgpraktijk.
  • Commerciële partijen duiken boven op dit concept wetsartikel en willen graag alvast opleidingen aan bestuurders geven: als je die opleiding gedaan hebt zou er een kleinere kans zijn op een boete van de Inspectie Gezondheidszorg en Jeugd (IGJ).
  • De IGJ mag de Cyberbeveiligingswet nog niet handhaven omdat deze nog niet van kracht is. Bovendien ziet de IGJ de bestuurlijke boete ook niet als primair handhavingsmiddel.
  • Artikel 26 van de Cyberbeveiligingswet geeft aan dat regels over de training, waaronder over duur en niveau, kunnen worden vastgesteld middels een Algemene Maatregel van Bestuur. Dit betekent dus dat de eisen aan opleidingen nog helemaal niet vaststaan!

Op basis hiervan kunnen we concluderen dat er geen enkele opleider is die op dit moment kan garanderen dat zijn opleiding aan de eisen uit de Cyberbeveiligingswet zal gaan voldoen. Commerciële partijen spelen in op de onzekerheid die leeft bij zorginstellingen. Laat je dus niet bang maken.

Kan je dan achterover gaan leunen?

Nee. We merken regelmatig dat CISO's van zorginstellingen moeite hebben om in gesprek te raken met bestuurders van hun organisatie. De kans bestaat dat het bestuur niet weet wat de werkelijke risico’s zijn. Daardoor kunnen ze geen gerichte beslissingen nemen om de belangrijkste cyberrisico’s te beperken. Het is dus verstandig om je bestuur alvast voor te bereiden op de opleiding dan wel training die straks verplicht gaat worden. Dat kan kosteloos!

Ga als CISO simpelweg het gesprek aan met je bestuur. Met vragen als 'wat zou je als eerste doen als je onbeperkt budget voor security zou hebben?' of 'van wat voor cyberdreiging kun je 's nachts wakker liggen?' breng je vast een goed gesprek op gang.

Je kunt de gesprekken verrijken met documentatie van de website van Z-CERT. Denk bijvoorbeeld aan ons jaarlijkse Cybersecurity Dreigingsbeeld voor de zorgsector, een stappenplan tegen ransomware en whitepapers over verzekeringen en leveranciersmanagement. Wie het initiatief voor de gesprekken neemt is niet relevant. Zorg dat jij de eerste bent!

Hulp nodig? Het Engelse NCSC heeft een uitgebreide toolkit rondom cyber, speciaal voor bestuurders.