Naar verwachting treedt de Cyberbeveiligingswet (Cbw) in de loop van 2026 in werking: de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet legt jouw organisatie drie kernverplichtingen op: een zorgplicht voor de beveiliging en continuïteit van netwerk- en informatiesystemen, een meldplicht bij significante incidenten en een registratieplicht voor essentiële en belangrijke entiteiten.

Voor het bestuur zit er een eigen set plichten in de wet. Het bestuur keurt de risicobeheersmaatregelen goed, ziet toe op de uitvoering en volgt zelf scholing. Worden die plichten niet nagekomen, dan kan het bestuursorgaan daarop worden aangesproken.

Als CISO weet jij wat dat betekent. De vraag is echter: weten je bestuurders dat ook? In de praktijk spreken CISO’s en bestuurders vaak een totaal andere taal. Terwijl elkaar verstaan precies de voorwaarde is om de wet te halen.

In dit artikel verkennen Kees Hintzbergen (PDCS) en Ingrid van Zeeland (SEP) hoe je dat gesprek aangaat, hoe je het bestuur in beweging krijgt en hoe je voorkomt dat je er als CISO alleen voor staat.

Onder de Cbw moet een bestuurder de juiste vragen kunnen stellen en op basis daarvan besluiten kunnen nemen. Dat is een vaardigheid die de meeste bestuurders niet zomaar in huis hebben.

Kees Hintzbergen ziet het wekelijks: “Een CISO zegt: ‘we hebben de afgelopen maand dertig incidenten gehad, tien gebruikers hebben op een verkeerde link geklikt en we zien een toename in aanvallen.’” Tegenover hem zit een bestuurder die denkt: “oké, en wat moet ik daarmee?”

Dat is geen onwil. Het is onbekendheid. Een bestuurder denkt in termen van reputatie, dienstverlening, politieke risico’s en kosten. Niet in incidenten en kwetsbaarheden. Jouw werk als CISO gaat daarom verder dan rapporteren. Je moet techniek en risico’s zien te vertalen naar de leefwereld van de bestuurder. Dat lukt alleen als je die leefwereld kent.

Niet elk bestuur is hetzelfde, maar er zijn wel patronen. Sommige wethouders denken vooral aan dienstverlening, andere aan financiën, weer andere aan de positie van de raad. Een gemeentesecretaris kijkt naar continuïteit van de bedrijfsvoering en de verantwoordelijkheid richting burgers én lokale ondernemers. Een directeur weegt boetes en juridische aansprakelijkheid. 

Kortom: ga na wat jouw bestuurder drijft, haak daarop in en maak het urgent. 

Ingrid van Zeeland: “Als iets niet urgent voelt, belandt informatiebeveiliging onderaan een lijst van duizend andere zaken. Jij moet als CISO ervoor zorgen dat het wél urgent voelt, op de manier die voor die specifieke bestuurder klopt.”

Hoe pak je dat aan? Dat vraagt iets waar veel CISO’s tegenaan lopen: een werkrelatie opbouwen voordat er een probleem is. Wachten op een incident om aan tafel te komen, is te laat. Liever vooraf koffie drinken, bijpraten, ontdekken wat er werkelijk speelt aan de bestuurstafel.

Een bestuurder hoeft geen techniek te kennen om de Cbw serieus te kunnen nemen. Wel zijn er vragen die structureel zouden moeten terugkomen.

Waarde en dreiging. Wat hebben we in huis dat van waarde is, welke partijen hebben daar interesse in en wat kunnen zij ermee? Waar staat onze autonomie onder druk door externe afhankelijkheden?

Impact. Wat gebeurt er werkelijk met onze organisatie, onze burgers en onze partners als deze informatie wordt gestolen of systemen wegvallen?

Weerbaarheid. Welke maatregelen hebben we genomen en kunnen we erop vertrouwen dat die werken als het er echt op aankomt?

Kwetsbaarheden. Waar zitten nog zwakke plekken en welke risico’s die daaruit voortkomen zijn we bereid te dragen?

Crisisbeheersing. Wat doet de organisatie als het toch misgaat en kan ik als bestuurder dan mijn rol pakken?

Het is jouw werk om de bestuurder te helpen deze vragen te stellen. En om de antwoorden te leveren in een taal die het bestuur kan plaatsen.

De juiste vragen stellen is een goed begin, maar de wet vraagt méér. Het bestuur keurt de risicobeheersmaatregelen goed, ziet toe op de uitvoering en volgt zelf scholing om die taken inhoudelijk waar te maken. Komt het bestuur die plichten niet na, dan kan het bestuursorgaan daarop worden aangesproken. Daar zit het scherpste deel van de wet.

Als CISO kun je de vertaalslag maken. Je kunt het gesprek voeren, de relatie opbouwen, je rapportages aanscherpen. Maar de scholingsplicht ligt bij het bestuur zelf. Daar kun jij niet voor in de plaats stappen.

PDCS en SEP hebben daarom een gezamenlijk scholingsprogramma voor bestuurders ontwikkeld dat aansluit op de scholingsplicht uit de Cbw. Het programma geeft bestuurders de kennis en het vocabulaire om hun rol onder de wet te nemen. Voor wie een stap verder wil, organiseren we sessies waarin bestuurders en CISO’s samen aan tafel komen. Daar wordt geoefend in dezelfde taal spreken en in de samenwerking die de wet eigenlijk veronderstelt.

Benieuwd of dit past bij jouw organisatie? Neem contact op, dan kijken we samen wat zinvol is.