Bestuurlijke verantwoordelijkheid

Verantwoordelijkheden

Onder de Cbw wordt cyberbeveiliging niet langer gezien als een technische kwestie, maar als een onderwerp voor de gehele organisatie. Het bestuur is persoonlijk aansprakelijk voor het beleid en de naleving van de wet.  Daarom moeten bestuurders onder andere:

• Aantoonbare kennis en vaardigheden hebben over risico's voor netwerk- en informatiesystemen, risicobeheersing en de impact van risico's op de organisatie;
• Inzicht hebben in de risico’s en daarvoor passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen;
• Regelmatig spreken met de eigen chief information security officer (CISO) over cyberbeveiliging.

Governance, risicobeheersing en rapportages

Het bestuur is eindverantwoordelijk voor governance (het bestuurlijk inrichten van afspraken, verantwoordelijkheden en processen) en risicobeheersing. Cyberbeveiliging is hierin geen uitzondering. Het kan op dezelfde manier worden meegenomen als andere kritieke onderwerpen, zoals financiële controles, privacy of operationele risico’s.

Voor het inrichten van governance en risicobeheersing zijn verschillende kaders en handvatten beschikbaar. Deze kunnen helpen met het maken van praktische keuzes over inrichting, taken en rapportages, zoals:

• Corporate Governance Code (vooral relevant voor grotere organisaties);
• COSO Enterprise Risk Management Framework; 
• Three Lines Model

Bij het maken van rapporten over cyberbeveiliging kunnen bestuurders kijken naar hoe dit bij financiële of operationele risico’s gebeurt. De manier waarop risico’s nu al worden beheerd, is een goed startpunt om ook cyberbeveiliging goed te regelen.

Altijd eindverantwoordelijk

Het bestuur moet nadenken over de verdeling van verantwoordelijkheden binnen de organisatie. Aandachtspunt hierbij is dat het bestuur altijd eindverantwoordelijkheid blijft voor cyberbeveiliging. Ook als taken gedelegeerd zijn aan bijvoorbeeld een CISO. In dit geval moet het bestuur zich actief laten informeren en betrokken zijn bij de belangrijkste vraagstukken en risico’s. Dit vraagt om onderlinge afstemming: samen binnen het bestuur bepalen hoe men op de hoogte blijft en welke rapportages en/of signalen men wil ontvangen.

Kennis- en vaardigheidsvereisten

Bestuurders moeten voldoende kennis hebben om de risico's van informatiebeveiliging te kunnen beoordelen en om het gesprek aan te gaan met de medewerkers die hierover gaan. Ook is het nodig dat het bestuur een cultuur ontwikkelt waarin het belang van informatiebeveiliging binnen de organisatie wordt erkend, en die medewerkers stimuleert om het informatiebeveiligingsbeleid na te leven.

Opleidingsplicht

De RDI vindt het belangrijk dat het bestuur actief verantwoordelijkheid neemt voor cyberbeveiliging. Daaronder vallen het goed kunnen inschatten van risico's en het nemen van passende maatregelen. U leest meer hierover op de webpagina over risicomanagement.

In de Cbw staat dat bestuurders verplicht een opleiding of training moeten volgen over cyberbeveiliging. Een certificaat is nodig om aan te tonen dat hun kennis actueel is.

Toezicht en verantwoordelijkheid

De toezichthouder (zoals de RDI) beschikt over verschillende toezichtsinstrumenten, zoals het aanspreken van organisaties, het vragen om verbetermaatregelen of het opleggen van een boete. In de Cbw zit de mogelijkheid om aan individuele bestuurders een boete of een last onder dwangsom op te leggen.

Dialoog tussen bestuur en CISO

Gesprekken tussen het bestuur en de CISO zijn belangrijk voor de digitale weerbaarheid van de organisatie. Ze moeten elkaar goed begrijpen, op de hoogte houden en blijven bevragen. Zo blijft cyberbeveiliging verbonden met risicomanagement en de strategische plannen van het bestuur.

Een CISO vindt handige tips over het voeren van een gesprek met het bestuur in de Handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel'. Denk aan het vertalen van technische risico’s naar het effect op de organisatie, het gebruik van concrete voorbeelden, en het afstemmen van de boodschap op wat bestuurders bezighoudt.

Een bestuurder zou zich moeten verdiepen in het werk van de CISO en de beveiligingsrisico’s. De vragentoolkit op NCSC.nl kan het bestuur ondersteunen bij het voeren van een gesprek over cyberbeveiliging. Denk aan vragen over de veiligheidscultuur, de grootste risico’s en dreigingen of huidige maatregelen voor de vitale processen van de organisatie.

Ondersteuning bestuur

De CISO ondersteunt het bestuur, maar kan en mag de formele eindverantwoordelijkheid niet overnemen. De CISO kan:

1. Adviseren
De CISO beantwoordt vragen over informatiebeveiliging en adviseert zowel het bestuur als andere afdelingen binnen de organisatie. Hierdoor worden directie en medewerkers goed geïnformeerd en ondersteund bij het nemen van beslissingen over beveiliging.

2. Coördineren
De CISO is de schakel tussen het bestuur en de rest van de organisatie. De CISO praat met het bestuur over risico’s en welke maatregelen belangrijk zijn. Vervolgens coördineert de CISO dat deze maatregelen goed worden uitgevoerd. Zo helpt de CISO om de risico’s voor de organisatie te verkleinen. Denk bijvoorbeeld aan het kiezen van de juiste beveiligingsmaatregelen en het maken van duidelijke afspraken over veiligheid.

3. Controleren
De CISO controleert of de organisatie zich aan haar eigen informatiebeveiligingsregels houdt. Daarover rapporteert de CISO aan het bestuur, zodat er tijdig kan worden bijgestuurd waar nodig.

Meer informatie

Bekijk de Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren | Cyber Security Raad.