Bestuurder - Wacht nog even met die NIS2-training (en dit is waarom)

Waarom een bestuurder nog geen NIS2-training zou hoeven volgen?

Een training volgen voor het bestuur gerelateerd aan cybersecurity is altijd goed. Maar een bestuurder zou nog even kunnen wachten met een NIS2-training als het gaat om het voldoen aan NIS2 (Cyberbeveiligingswet). In deze blog ga ik hier dieper op in en licht ik twee redenen toe. Ook ga ik in op de gevolgen die mogelijk kunnen spelen voor bestuurders die nu al een NIS2-training hebben gevolgd.

NIS2-training voor bestuurders

Art. 20 lid 2 NIS2 geeft aan dat de leden van de bestuursorganen een opleiding moeten volgen. NIS2 geeft verder niet aan wat de inhoud van deze opleiding zou moeten zijn. Art. 24 Ontwerpregeling Cyberbeveiligingswet (Cbw) dat op 11 december 2024 gepubliceerd is geeft al iets meer invulling aan deze opleiding. Art. 24 lid 2 Cbw geeft aan dat het gaat om kennis en vaardigheden om:

1. risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren;
2. risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen; en
3. de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend te kunnen beoordelen.

Vervolgens geeft art. 24 lid 4 Cbw aan dat deze opgedane kennis en vaardigheden aantoonbaar actueel gehouden moet worden.  Het resultaat van de gevolgde opleiding is een certificaat waarmee aantoonbaar de opgedane kennis en vaardigheden getoond kunnen worden zoals art. 24 lid 5 Cbw omschrijft.

Maar art. 24 leden 3 en 6 Cbw verlagen de noodzaak om zo spoedig mogelijk al een NIS2-training te moeten volgen. Art. 24 lid 3 Cbw geeft namelijk aan dat deze training binnen 2 jaar na inwerkingtreding van de Cbw gevolgd moet zijn. Dit betekent dat (ongeveer) in Q2 of Q3 2027 deze training uiterlijk gevolgd moet zijn. Dit is de eerste reden waarom een bestuurder nog geen training zou hoeven volgen om te voldoen aan NIS2/Cbw.

!! Let op !! Na inwerkingtreding van de Cbw moet iedere nieuwe bestuurder binnen 2 jaar na benoeming een dergelijke training gevolgd hebben.

!! Let op 2!! In de Ontwerp Memorie van Toelichting Cbw d.d. 11-12-2024 hoofdstuk 5.4 ‘Opleiding’ derde alinea wordt de overweging gedaan dat ‘op hen [ bestuurder] vanaf de inwerkingtredingsdatum de verplichting [rust] dat zij over voldoende kennis en vaardigheden beschikken. Het is aan het bestuurslid om aan te tonen dat hiervan  sprake is. Te denken valt aan regelmatige interne of externe voorlichting.’ Hiermee wordt training of opleiding vooraf aangemoedigd (niet wettelijk afgedwongen) maar dit kan op verschillende manieren toegepast worden.

Het belangrijkste lid van art. 24 Cbw is lid 6 (art. 24 lid 6 Cbw). Dit lid geeft aan dat een algemene maatregel van bestuur (aanvullende) regels gesteld kunnen worden over de training waaronder de duur en het niveau van de training. Met vooral dit laatste wordt duidelijk dat de bij het volgen van een NIS2-training op dit moment geen enkele zekerheid kan geven of deze uiteindelijk voldoet aan de eisen. Simpelweg omdat de eisen nog niet volledig bekend zijn. Een gevolgde training zou op dit moment wel beschouwd kunnen worden als een ‘externe voorlichting’. Dit is de tweede reden waarom een bestuurder nog geen training zou hoeven volgen om te voldoen aan NIS2/Cbw.

Gevolgen voor bestuurders die nu al een training gevolgd hebben

Op dit moment zullen er al bestuurders zijn die al een NIS2-training gevolgd zullen hebben. Zoals gezegd het is altijd goed dat bestuurders een security gerelateerde training volgen maar om te voldoen aan NIS2/Cbw kunnen er wel gevolgen zijn voor deze bestuurders.

Het belangrijkste gevolg is dat deze bestuurders opnieuw of een aanvullende training moeten gaan volgen. Vooral wanneer een algemene maatregel van bestuur aanvullende regels stelt die op hen van toepassing is kan dit spelen. Vooral wanneer de al gevolgde training deze aanvullende regels niet afdekt. Dit betekent aanvullende kosten, extra tijd vrijmaken en het verlies aan goodwill van een bestuurder voor NIS2/Cbw. Ook kan hierdoor het vertrouwen over aangeboden trainingen dat door marktpartijen is gewekt geschaad worden dat ten koste gaat van het algemene marktvertrouwen binnen het vakgebied.

Wat te doen als bestuurder?

Heb je als bestuurder nog geen training gevolgd? Wacht hier nog even mee. Laat je door je medewerkers op de hoogte houden over de ontwikkelingen en publicatie van een algemene maatregel van bestuur. Stel pas daarna de opleidingsbehoefte af en zoek de best passende opleiding daarbij. Het ondertussen volgen van interne voorlichting is altijd aan te raden.

Heb je als bestuurder al een training gevolgd? Beschouw deze in eerste instantie als een extern gevolgde voorlichting. Evalueer na inwerkingtreding van de Cbw (en gepubliceerde algemene maatregelen van bestuur) of de gevolgde training voldoet aan alle gesteld eisen. Wanneer dat zo is, dan is verdere actie niet nodig. Voldoet de training niet aan de gestelde eisen. Dan is mogelijk sprake van wanprestatie door de leverancier. Afhankelijk van de inhoudelijke afspraken, claim rondom compliance, gewekte verwachtingen (Haviltex) en andere omstandigheden van het geval dat kan leiden tot deze wanprestatie. Wanprestatie is een vorm van in gebreke zijn dat door de leverancier hersteld zou moeten worden voordat sprake is van verzuim door de leverancier. Schakel eventueel juridisch advies in om je bij te laten staan.