5.10.01

[Frans-Hut]

Bestuurders moeten kunnen besturen. Ze moeten organiseren dat de informatiebeveiliging klopt. In essentie is het voldoende als de bestuurder voldoet aan:

• Weten wat een Management systeem is (voor Security en Continuïteit)
• Weten wat de eigen rol daarin is
• Aangesteld hebben van kundige mensen
• Toezien op de cyclus Risicoanalyse - Plan - Directiebeoordeling
• Ieder jaar een externe auditor

Dat past in een korte presentatie. Dezelfde commentaren worden ook gegeven op de Wbni

Zelf kunnen beoordelen is onnodig en ongewenst. Bestuurders hebben geen tijd om allemaal de CISSP training te doen.

[dvebzk]

@Frans-Hut: dank voor je reactie. Zoals je terecht aangeeft hangt de specificering van opleidingen nauw samen met de uitwerking van de Cyberbeveiligingswet. De verwachting is dat dit onderwerp mogelijk ook in een bovenliggende regelgeving (bijvoorbeeld een AMvB) wordt uitgewerkt. Dit wordt afgestemd met de dossiershouders die verantwoordelijk zijn voor de uitwerking van de sector overheid voor de NIS2-implementatie. Jouw opmerking zal daarin worden meegenomen.