De Cyberbeveiligingswet (Cbw - pdf) legt duidelijke verantwoordelijkheden bij bestuurders. Zo beschrijft artikel 24 wat er van bestuurders wordt verwacht, welke sancties toezichthouders kunnen opleggen (hoofdstuk 15, vanaf artikel 68) en dat bestuurders aantoonbaar passend getraind moeten zijn op dit onderwerp.
Het Cyberbeveiligingsbesluit (Cbb) werkt deze opleidingsverplichting verder uit in de artikelen 21 tot en met 23. We merken dat bestuurders en CISO’s van zorgaanbieders al nadenken over wat dit voor hen betekent. Z‑CERT en vooral het ministerie van VWS krijgen hier regelmatig vragen over.
Op de website van VWS staat daarom een aparte FAQ‑sectie over bestuurlijke verantwoordelijkheid binnen de Cbw. Daar vind je antwoorden op praktische vragen zoals: Welke kennis moet een bestuurder hebben? en Mag het bestuur taken delegeren?
Van bestuurders wordt onder meer verwacht dat zij voldoende inzicht hebben in cyberdreigingen en de bijbehorende risico’s. Het jaarlijkse Cybersecuritybeeld van Z‑CERT helpt daarbij en is dan ook een echte aanrader. Staat het al bij jullie op de radar? Er is zowel een uitgebreide pdf als een praktische samenvatting beschikbaar.