Buitensporige verplichting Cyberbeveiligingswet op zorgbestuurders

De Tweede Kamer heeft recent met overweldigende meerderheid het wetsvoorstel Cyberbeveiligingswet(Cbw) goedgekeurd. Het wetsvoorstel implementeert de NIS2-richtlijn met maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU. NIS2 staat voor Network and Information Security Directive 2. Het is terecht dat belangrijke maatschappelijke/ economische processen goed beschermd moeten worden tegen cyberbeveiligingsrisico’s. Het voorstel bepaalt welke belangrijke en essentiële organisaties verplicht zijn om niet alleen zulke risico’s te beheersen en incidenten te voorkomen. Maar ook de gevolgen van incidenten te beperken door het nemen van maatregelen. Die treffen ook individuele bestuursleden van zogeheten belangrijke en kritische entiteiten, waaronder zorginstellingen.

Die krijgen nu zware persoonlijke verplichtingen opgelegd op het gebied van cyberbeveiliging en het handelen bij cybercalamiteiten. Het gaat er dan niet meer om dat ze op hoog niveau in de organisatie de nodige kennis en kunde hebben georganiseerd en daarvoor uiteindelijk de verantwoording dragen. Een zeer zware extra last.

Entiteiten en verplichtingen

De Cbw is van toepassing op een breed scala aan private en publieke organisaties/instituties. De wet spreekt daarbij over belangrijke en essentiële entiteiten. Zorgaanbieders en farmaceutische vervaardigers, moeten aan de Cbw voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Het is dan een “belangrijke” entiteit volgens de Cbw. Bij meer dan 250 FTE aan personeel en met een jaaromzet van meer dan 50 miljoen euro of een balanstotaal van 43 euro noemt men de instelling een “essentiële” entiteit. Dat betekent dat alle kleine, (middel)grote en academische ziekenhuizen een essentiële entiteit zijn.

Verplichting

Bestuursleden krijgen in de beoogde governance een persoonlijke verplichting om te beschikken over kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.

Governance(1)

De tekst in de Memorie van Toelichting  luidt:

5.3.1 Inleiding

De Cbw bevat verplichtingen voor het bestuur van essentiële entiteiten en belangrijke entiteiten. Dat bestuur moet de zorgplichtmaatregelen van de betreffende entiteit goedkeuren en toezien op de uitvoering van die maatregelen. Bestuursleden spelen een cruciale rol in het neerzetten van een sterke cyberweerbaarheidscultuur. Naast de beoordeling van de digitale gezondheid van essentiële entiteiten en belangrijke entiteiten is het daarom van belang dat bestuursleden een training volgen zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. Vanuit die voorbeeldfunctie dragen ze cyberbewustheid uit, in de eerste plaats naar hun werknemers die in het kader van de zorgplicht een soortgelijke training moeten volgen.

Governance(2)

5.3.2 Training

Artikel 24, tweede lid, Cbw schrijft voor dat ieder lid van het bestuur van een essentiële entiteit en belangrijke entiteit moet beschikken over kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. Met het oog op het aantonen van die kennis en vaardigheden schrijft artikel 24, vijfde lid, Cbw voor dat ieder lid van het bestuur moet beschikken over een certificaat waaruit de deelname blijkt aan een training waarin de hiervoor genoemde onderwerpen worden behandeld. Met dat certificaat kan een bestuurslid aantonen dat sprake is van de hiervoor bedoelde kennis en vaardigheden.

Ieder bestuurslid moet de kennis en vaardigheden actueel houden. Dit past bij het uitgangspunt van de Cbw dat cyberweerbaarheid een cyclisch en continu proces is. Dit betekent dat ieder bestuurslid zijn of haar kennis en kunde ververst en indien nodig aanvult, door bijvoorbeeld een opfriscursus. Ook dit moet aangetoond kunnen worden.

Schorsing bestuurslid

Het handhavingsinstrumentarium ten aanzien van essentiële entiteiten omvat het volgende: ……

het bepalen van een einddatum, het verzoeken van een tijdelijke opschorting van een certificering of vergunning en het verzoeken van een schorsing van een lid van het bestuur;  

Buitensporig

Bovenvermelde eisen die expliciet ook voor zorginstellingen gaan gelden maken op papier de individuele bestuursleden tot administratieve duizendpoten. Het volstaat blijkbaar niet dat een bestuur collectief het handelen bij cyberincidenten, gezamenlijk, in samenspraak met specialisten uit het hogere management belegd heeft in intensieve protocollen. Waarbij dan de uiteindelijke verantwoordelijkheid uiteraard bij het voltallige bestuur ligt. Met de Cbw maakt men de verantwoordelijkheid persoonlijk voor alle bestuursleden. Het maakt individuele bestuursleden tot een soort cybersecurity-specialist naast hun andere kwaliteiten.

Dan is het de vraag of men in de zeer nabije toekomst nog wel bestuursleden voor zorginstellingen zal weten te vinden die blijvend voldoen aan de Cbw.

Ik denk dat de Eerste kamer hier bij haar beoordeling van de Cyberbeveiligingswet nog eens intensief naar moet kijken.

W.J. Jongejan, 5 mei 2026

Afbeelding van Divya Gupta via Pixabay. Bewerkt door WJJ.