Buitensporige verplichting Cyberbeveiligingswet op zorgbestuurders
De Tweede Kamer heeft recent met overweldigende meerderheid het wetsvoorstel Cyberbeveiligingswet(Cbw) goedgekeurd. Het wetsvoorstel implementeert de NIS2-richtlijn met maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU. NIS2 staat voor Network and Information Security Directive 2. Het is terecht dat belangrijke maatschappelijke/ economische processen goed beschermd moeten worden tegen cyberbeveiligingsrisico’s. Het voorstel bepaalt welke belangrijke en essentiële organisaties verplicht zijn om niet alleen zulke risico’s te beheersen en incidenten te voorkomen. Maar ook de gevolgen van incidenten te beperken door het nemen van maatregelen. Die treffen ook individuele bestuursleden van zogeheten belangrijke en kritische entiteiten, waaronder zorginstellingen.
Die krijgen nu zware persoonlijke verplichtingen opgelegd op het gebied van cyberbeveiliging en het handelen bij cybercalamiteiten. Het gaat er dan niet meer om dat ze op hoog niveau in de organisatie de nodige kennis en kunde hebben georganiseerd en daarvoor uiteindelijk de verantwoording dragen. Een zeer zware extra last.
Entiteiten en verplichtingen
De Cbw is van toepassing op een breed scala aan private en publieke organisaties/instituties. De wet spreekt daarbij over belangrijke en essentiële entiteiten. Zorgaanbieders en farmaceutische vervaardigers, moeten aan de Cbw voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Het is dan een “belangrijke” entiteit volgens de Cbw. Bij meer dan 250 FTE aan personeel en met een jaaromzet van meer dan 50 miljoen euro of een balanstotaal van 43 euro noemt men de instelling een “essentiële” entiteit. Dat betekent dat alle kleine, (middel)grote en academische ziekenhuizen een essentiële entiteit zijn.
Verplichting
Bestuursleden krijgen in de beoogde governance een persoonlijke verplichting om te beschikken over kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.
Governance(1)
De tekst in de Memorie van Toelichting luidt:
5.3.1 Inleiding
De Cbw bevat verplichtingen voor het bestuur van essentiële entiteiten en belangrijke entiteiten. Dat bestuur moet de zorgplichtmaatregelen van de betreffende entiteit goedkeuren en toezien op de uitvoering van die maatregelen. Bestuursleden spelen een cruciale rol in het neerzetten van een sterke cyberweerbaarheidscultuur. Naast de beoordeling van de digitale gezondheid van essentiële entiteiten en belangrijke entiteiten is het daarom van belang dat bestuursleden een training volgen zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. Vanuit die voorbeeldfunctie dragen ze cyberbewustheid uit, in de eerste plaats naar hun werknemers die in het kader van de zorgplicht een soortgelijke training moeten volgen.
Governance(2)
5.3.2 Training
Artikel 24, tweede lid, Cbw schrijft voor dat ieder lid van het bestuur van een essentiële entiteit en belangrijke entiteit moet beschikken over kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. Met het oog op het aantonen van die kennis en vaardigheden schrijft artikel 24, vijfde lid, Cbw voor dat ieder lid van het bestuur moet beschikken over een certificaat waaruit de deelname blijkt aan een training waarin de hiervoor genoemde onderwerpen worden behandeld. Met dat certificaat kan een bestuurslid aantonen dat sprake is van de hiervoor bedoelde kennis en vaardigheden.
Ieder bestuurslid moet de kennis en vaardigheden actueel houden. Dit past bij het uitgangspunt van de Cbw dat cyberweerbaarheid een cyclisch en continu proces is. Dit betekent dat ieder bestuurslid zijn of haar kennis en kunde ververst en indien nodig aanvult, door bijvoorbeeld een opfriscursus. Ook dit moet aangetoond kunnen worden.
Schorsing bestuurslid
Het handhavingsinstrumentarium ten aanzien van essentiële entiteiten omvat het volgende: ……
het bepalen van een einddatum, het verzoeken van een tijdelijke opschorting van een certificering of vergunning en het verzoeken van een schorsing van een lid van het bestuur;
Buitensporig
Bovenvermelde eisen die expliciet ook voor zorginstellingen gaan gelden maken op papier de individuele bestuursleden tot administratieve duizendpoten. Het volstaat blijkbaar niet dat een bestuur collectief het handelen bij cyberincidenten, gezamenlijk, in samenspraak met specialisten uit het hogere management belegd heeft in intensieve protocollen. Waarbij dan de uiteindelijke verantwoordelijkheid uiteraard bij het voltallige bestuur ligt. Met de Cbw maakt men de verantwoordelijkheid persoonlijk voor alle bestuursleden. Het maakt individuele bestuursleden tot een soort cybersecurity-specialist naast hun andere kwaliteiten.
Dan is het de vraag of men in de zeer nabije toekomst nog wel bestuursleden voor zorginstellingen zal weten te vinden die blijvend voldoen aan de Cbw.
Ik denk dat de Eerste kamer hier bij haar beoordeling van de Cyberbeveiligingswet nog eens intensief naar moet kijken.
W.J. Jongejan, 5 mei 2026
Afbeelding van Divya Gupta via Pixabay. Bewerkt door WJJ.
Informatiebeveiliging is terecht van belang.
Waar het tot heden aan ontbrak is aandacht op directie niveau voor dit onderwerp. Het is immers een kostenpost zonder direct financieel profijt.
Net als een toilet het moet er zijn en kost geld en levert geen winst op.
Om de Informatiebeveiliging aan te scherpen is het van belang de verantwoordelijkheid en aansprakelijkheid te beleggen. Het ligt voor de hand dat te doen bij de directie-leden.
Ieder begrijpt dat ze niet over alle kennis en ervaring kunnen beschikken. Zonder enige twijfel zullen ze die kennis en ervaring binnen de organisatie moeten binnen halen. En laten functioneren,
Die experts adviseren de directie. Directies voldoen daarmee aan de wet.
Ik zie het door je gemelde probleem niet, Wim.
GF
We verschillen hierbij van mening. Ik denk dat de gemiddelde zorginstelling zich wel degelijk bewust is van de risico’s van cyberincidenten en de noodzaak van een goede respons erop. Het individualiseren van de verantwoordelijkheid vind ik persoonlijk geen meerwaarde bieden boven de collectieve verantwoordelijkheid van besturen. Het is ook de vraag wie en wat dat allemaal gaat monitoren/controleren en tot welk kennis/kunde-niveau de bestuursleden geacht woorden opgeleid te zijn. Er zal wel weer een nieuwe controle-laag gaan ontstaan. We gaan het allemaal zien.
wat een negatief verhaal. 1) dit zat er al een paar jaar aan te komen dus doe nou niet alsof je overvallen wordt. 2) je hebt als bestuur twee jaar de tijd na ingang van de wet om je zaakjes op orde te krijgen 3) het wordt hier voorgesteld als iets heel erg ingewikkelds: koudwatervrees. 4) bestuurders moeten in de benen om hun verantwoordelijkheid en aansprakelijkheid te kunnen dragen resp. te kaderen. Goh. 5) als je voor zo’n wet terugschrikt of je blijft buitensporig in de weerstand hangen, dan zou ik zeggen: welkom in de nieuwe wereld. Of niet. 6) het alternatief, om het aan een onderdaan of groep over te laten: daar is natuurlijk bewust niet voor gekozen. 7) de wet en het besluit zijn afgeleid van de NIS2 die allang geldig is. 8) de eisen van de wet zullen gewoon opgenomen worden in het veiligheidssysteem dat vereist wordt (door de zorginkoper) en zal ook deel uitmaken van de reikwijdte van de Governance Code Zorg 9) je moet inderdaad een duizendpoot zijn als bestuurder, dat is nu ook zo. 10) je zou ook enthousiast kunnen stellen dat de cybersecurity maximaal wordt geborgd voor klanten/ patiënten/ burgers / bevolking, dat het fijn is om daar een steentje aan bij te dragen en mooi dat via de wet de weg gewezen wordt.
Het individualiseren van de verantwoordelijkheid en aansprakelijkheid van zorgbestuurders bij cyberincidenten acht ik geen wezenlijke voordelen hebben boven de collectieve verantwoordelijkheid van zorgbestuurders in dezen. Slechts een lastenverzwaring. Daarbij is het ook de vraag tot welk kennisniveau die zorgbestuurders dan weer opgeplust moeten gaan worden en wie/wat dat weer gaat monotoren/controleren. Ik ben door dit onderwerp zeker niet overvallen, maar het is op dit moment wel actueel door a) de behandeling van de Cbw door de Eerste Kamer en b) door de recente ransomware-hack bij ChipSoft waarbij dat bedrijf zich overigens maar zeer beperkt zich kwijt van berichtgeving over de aard en omvang van de hack en de consequenties voor patiënten. Zorgbestuurders zitten daarbij knel tussen hackers en ICT-leverancier.
tja, ik denk a) dat de zorg maar een partje is in het geheel en niet moet doen alsof ze zo uitzonderlijk is en b) dat je niet wil zien dat het deze ex ante aansprakelijkheid juridisch hout snijdt en er voor zorgt dat de organisatie c.q. het bestuur en toezicht alert zijn en maximaal in de benen komen. c) dat het allemaal zo lastig is vind ik een drogreden. Vermoedelijk zal de Eerste Kamer niet gaan sputteren dat het allemaal zo moeilijk wordt gemaakt voor een zorgbestuurder, dus ik zou maar wat gaan doen.
Grappig dat je je zo druk maakt om iemand die een andere mening dan je zelf hebt verkondigt.