Van wetgeving naar zorgcontinuïteit

De kern van de Cbw is het vergroten van de digitale weerbaarheid. De wetgeving richt zich op het versterken van cyberbeveiligingscapaciteiten, het verminderen van kwetsbaarheden in netwerk en informatiesystemen en het waarborgen van continuïteit bij cyberincidenten. Dit is met name relevant voor organisaties die sterk afhankelijk zijn van digitale systemen voor hun primaire processen, zoals zorgorganisaties.

Risico: onderschatting bestuurlijke verantwoordelijkheid

Een belangrijk risico is dat deze wetgeving wordt benaderd zoals eerder de privacywetgeving. Lange tijd werd gedacht dat het wel zou meevallen, waardoor echte aandacht pas laat op gang kwam. Ook bij de Cbw bestaat het risico dat bestuurders onvoldoende zicht hebben op wat er van hen wordt verwacht. Het verschil met eerdere wetgeving is echter groot. Onder de Cbw kunnen bestuurders persoonlijk aansprakelijk worden gesteld wanneer zij hun verplichtingen niet nakomen. Dit geldt ook voor functionarissen zoals de CISO wanneer zij formeel verantwoordelijkheden en bevoegdheden hebben. De Cbw raakt daarmee direct de bestuurlijke verantwoordelijkheid.

Structurele verankering in strategie en governance

Voor bestuurders betekent dit dat cybersecurity niet langer een onderwerp is dat kan worden gedelegeerd of afgevinkt. Het vraagt om een cultuurverandering waarin digitale risico’s worden gezien als strategisch en organisatiebreed. De toon aan de top is hierbij bepalend. Als het bestuur cybersecurity zichtbaar prioriteit geeft, volgt de organisatie. Zonder deze duidelijke bestuurlijke sturing zal het onderwerp onvoldoende landen bij management en medewerkers.

Digitale weerbaarheid vraagt leiderschap en voorbeeldgedrag

Organisaties die deze cultuurverandering doormaken, vertonen herkenbare kenmerken. Het bestuur communiceert duidelijk over visie en waarden rondom cybersecurity. Cybersecurity is onderdeel van de organisatiestrategie en geen losstaand beleid. Bestuur en management geven zelf het goede voorbeeld. Medewerkers worden structureel getraind en blijven zich bewust van hun rol in digitale veiligheid. De voortgang wordt geëvalueerd en besproken aan de bestuurstafel. Het bestuur begrijpt dat cultuurverandering tijd kost en blijft vasthoudend, ook wanneer resultaten niet direct zichtbaar zijn.

Inzicht in de keten en mandaat

Bestuurders kunnen zelf actief bijdragen aan deze verandering. Het begint met vaststellen of de organisatie onder de Cbw valt en wat dit concreet betekent. Vervolgens is het belangrijk een duidelijke verantwoordelijke aan te wijzen die samen met het bestuur de implementatie vormgeeft. Ook wanneer de organisatie niet rechtstreeks onder de Cbw valt, blijft aandacht voor ketenpartners essentieel. Leveranciers kunnen immers een directe impact hebben op de continuïteit van zorg.

Daarnaast is het van belang dat bestuurders goed geïnformeerd zijn over cyberdreigingen en risico’s. Dit vraagt om directe betrokkenheid van expertise zoals de CISO bij bestuurlijke besluitvorming. Incidenten en risico’s moeten tijdig worden gedeeld zodat het bestuur kan handelen. Regelmatige rapportages, duidelijke stuurinformatie en het bespreken van leerpunten na incidenten helpen om overzicht te houden.

Incident response plan

Verder zijn een goed incident response plan en aandacht voor business continuity onmisbaar. Scenario’s moeten regelmatig worden getest, inclusief de rol van het bestuur. Samenwerking met leveranciers, toezichthouders en nationale autoriteiten versterkt de weerbaarheid. Heldere afspraken en herstel plannen zijn noodzakelijk om voorbereid te zijn op verstoringen in de keten.

Training en inzicht

Tot slot vraagt de Cbw om investering in kennis en vaardigheden van bestuurders zelf. Gerichte trainingen helpen om de juiste vragen te stellen en effectief te sturen.

Een Aon NIS2 Board bestuurderstraining heeft als doel dat bestuurders en toezichthouders aantoonbaar in control komen over cyberrisico’s en hun wettelijke eindverantwoordelijkheid onder de Cbw. Na de training begrijpt het bestuur hoe digitale risico’s strategische keuzes beïnvloeden, hoe toezicht en verantwoording door de Raad van Bestuur en Raad van Toezicht moet worden ingericht en hoe zij richting organisatie de juiste prioriteiten, middelen en governance afdwingen.

Aon heeft aan de hand van de Cbw een NIS2 GAP analyse ontwikkeld die inzicht geeft in uw huidige cybervolwassenheid. Met twee vragenlijsten die uw CISO/IT-manager in een paar uur heeft ingevuld, krijgt u inzicht in de huidige status van uw technische en organisatorische maatregelen. Met dit inzicht wordt een GAP-analyse opgesteld samen met een op maat gemaakte roadmap.

De Cbw vraagt daarmee om meer dan compliance. Het vraagt om leiderschap, structuur en een blijvende cultuurverandering. Door vandaag te beginnen met sturen, leren en voorbeeldgedrag kan het bestuur zorgen dat cybersecurity daadwerkelijk verankerd raakt in de organisatie en de zorg ook digitaal toekomstbestendig blijft.

Dit artikel is geschreven door Aon.

Interessant voor NVZD-leden

Kom naar de Online lunchsessie: grip op NIS2 en cyberrisico’s in de zorg

Frank Ruijgrok, Principal Consultant Aon Cyber Solutions, neemt u mee in de handreiking en licht de belangrijkste bestuurlijke aandachtspunten toe voor zorgorganisaties, zoals governance, ketenafhankelijkheden, risicobeheersing en continuïteit van zorg. Daarnaast deelt hij inzichten uit de praktijk en actuele cyberdreigingen die relevant zijn voor bestuur en toezicht.

U krijgt ruim de gelegenheid om vragen te stellen en eigen situaties of casussen in te brengen. Zo ontstaat een interactieve sessie die direct toepasbaar is in uw bestuurspraktijk.

Een compacte en praktische lunchsessie, gericht op wat de NIS2-richtlijn concreet betekent voor bestuur en toezicht in de zorg.

Meld u aan en ontvang de link om deel te nemen aan de online sessie.