010 323 2007

NIS2-Bestuurderstraining

Wie mag de NIS2-bestuurderstraining geven?

Kennisbank » Wie mag de NIS2-bestuurderstraining geven?

Mag iedereen de verplichte NIS2-bestuurderstraining geven? 

De Cyberbeveiligingswet treedt naar verwachting in het tweede kwartaal van 2026 in werking. Dat betekent dat de klok voor bestuurders van essentiële en belangrijke entiteiten al tikt: zij hebben vanaf dan twee jaar de tijd om aan de trainingsplicht te voldoen. De vraag die nu bij veel organisaties speelt is niet alleen wát er in de training moet zitten, maar ook: wie mag die training eigenlijk geven? Het antwoord verrast velen. Privacy United helpt organisaties bij precies deze vraag. Meer weten? Lees verder of neem direct contact op via info@privacyunited.com.

Het korte antwoord 

Nee, er is geen verplichte certificering of accreditatie voor trainers. De wet stelt eisen aan de inhoud van de training en aan het certificaat, niet aan de aanbieder zelf. Maar dat betekent niet dat alles mag. 

Wat zegt de wet precies? 

De Cyberbeveiligingswet (Cbw) verplicht elk lid van het bestuur van een essentiële of belangrijke entiteit om aantoonbare kennis en vaardigheden te hebben op het gebied van cyberbeveiliging. Concreet: iedere bestuurder moet een training hebben gevolgd en beschikken over een geldig certificaat. 

De uitwerking staat in het Cyberbeveiligingsbesluit (Cbb). Daarin vind je de eisen aan de inhoud van de training (art. 21-22 Cbb) en de eisen aan het certificaat (art. 23 Cbb). Wat je er niet in vindt zijn eisen aan de trainer: 

In de consultatiefase bevatte het Cbb een artikel 22 met uitgebreide kwalificatie-eisen voor trainers. Na kritische reacties van o.a. de G4 is dit artikel volledig geschrapt, omdat het verder ging dan de NIS2-richtlijn vereist. De Nota van Toelichting par. 4.7 (versie t.b.v. Tweede Kamer) bevestigt dit expliciet. 

Betekent dit dat alles mag? 

Niet helemaal. Hoewel er geen formele accreditatieplicht voor trainers bestaat, stelt de wet wel eisen aan de training zelf. Een trainer die die inhoud niet kan waarmaken, kan ook geen geldig certificaat afgeven met als gevolg dat de bestuurder alsnog niet voldoet.  

De indirecte eis aan de trainer is dus: je moet in staat zijn een training te verzorgen die de verplichte onderwerpen afdekt én een certificaat afgeven dat voldoet aan alle wettelijke vereisten. 

Let op: het certificaat is persoonsgebonden 

Het certificaat geldt alleen voor de verplichte basistraining (art. 24 lid 5 Cbw). Voor het periodiek actueel houden van kennis (art. 24 lid 4 Cbw) is geen nieuw certificaat vereist, dat mag ook op een andere wijze worden aangetoond.

Welke onderwerpen moet de training behandelen? 

De training moet bestuurders in staat stellen om op strategisch niveau, uitdrukkelijk niet technisch, te opereren. De wet onderscheidt twee blokken: 

Blok 1: risico-identificatie (art. 22 lid 1 Cbb) 

  • Soorten risico’s 
  • Risicomanagementproces 
  • Risicobeoordelingsmethodiek 

Blok 2: risicobeheersmaatregelen (art. 22 lid 2 Cbb jo. Art. 21 lid 3 Cbw) 

  • Beleid risicoanalyse en informatiebeveiliging 
  • Incidentenbehandeling 
  • Bedrijfscontinuïteit, back-up, herstelplannen, crisismanagement 
  • Supply chain beveiliging 
  • Beveiliging systeemontwikkeling, -onderhoud en –verwerving, incl. repsons kwetsbaarheden 
  • Cryptografie en encryptie (waar passend) 
  • Cyberhygiëne en bewustwording 
  • Personeel, toegangsbeleid, assetbeheer 
  • MFA en beveiligde (nood)communicatie (waar passend) 
  • Effectiviteitsbeoordeling van maatregelen

Alle onderwerpen komen aan bod in de NIS2-bestuurderstraining van Privacy United. Zo weet je zeker dat het certificaat inhoudelijk klopt. 

Wat moet er op het certificaat staan? 

Het certificaat is het bewijsdocument richting toezichthouders. Zonder geldig certificaat voldoet de bestuurder formeel niet. De wet is precies over wat erop moet staan: 

Verplichte inhoud certificaat (art. 23 Cbb)

  • Naam bestuurslid (persoonsgebonden) 
  • Naam aanbieder 
  • Datum van de training 
  • Taal (NL of EN) 
  • Behandelde onderwerpen 

(Aantal uren: NIET meer verplicht (geschrapt))

Praktisch: wat betekent dit voor bestuurders? 
 Persoonsgebonden verplichting: elk bestuurslid individueel, niet als groep (Art. 24 Cbw)
 Termijn: 2 jaar na inwerkingtreding van de Cyberbeveiligingswet om te voldoen.  (Art. 24 lid 3)
 Vormvrijheid: klassikaal, online of blended; de vorm is vrij mits aantoonbaar. (Art. 24 lid 5)
Wat betekent dit voor aanbieders van de training? 

Er is bewust gekozen voor een open markt: geen keurmerk en geen accreditatie-eis. Dat geeft flexibiliteit, maar legt ook verantwoordelijkheid bij de afnemer. 

Als bestuurder is het verstandig bij elke aanbieder na te gaan of de training de verplichte inhoud afdekt (art. 21-22 Cbb) en of het afgegeven certificaat voldoet aan art. 23 Cbb. Is dat niet het geval, dan voldoet de bestuurder formeel niet, ongeacht hoeveel uur er getraind is.  

Bij Privacy United hoef je dat risico niet te nemen. Onze training dekt alle verplichte onderwerpen en het certificaat voldoet aan elke wettelijke eis.  

Hoe nu verder?

Begin met een inventarisatie: welke bestuursleden vallen onder de verplichting en heeft jouw organisatie al een aanbieder in beeld? Controleer vervolgens of die aanbieder de verplichte onderwerpen afdekt en een geldig certificaat kan afgeven. Plan de training ruim vóór de deadline in, twee jaar lijkt lang, maar in de praktijk lopen agenda’s van bestuurders vol. 

Kom je er zelf niet aan uit? Privacy United verzorgt de verplichte NIS2 bestuurderstraining 

Privacy United biedt een bestuurderstraining aan die volledig voldoet aan de vereisten uit de Cbw en Cbb. De training behandelt alle verplichte onderwerpen conform art. 21-22 Cbb op strategisch niveau. Na afloop ontvangen deelnemers een certificaat dat voldoet aan alle wettelijke vereisten van art. 23 Cbb. 

Wil jij of jouw bestuurder de verplichte training volgen? Neem vrijblijvend contact op of meer informatie te ontvangen via info@privacyunited.com. Vrijblijvend inschrijven en relevante updates ontvangen omtrent de training kan via het volgende formulier: Aanmeldformulier Bestuurderstraining NIS2 – Fill out form  

Mag iedereen de verplichte NIS2-bestuurderstraining geven? De wet stelt geen eisen aan de trainer, maar dat betekent niet dat alles mag! Artikel 22 Cbb (trainerseisen) is volledig geschrapt na consultatie. Geen accreditatie, geen register, geen keurmerk vereist. Geen trainerseisen, maar wél eisen aan de training zelf. FORMELE EISEN (wettelijk verplicht) Art. 24 Cbw Persoonsgebonden verplichting-elk bestuurslid individueel Art. 24 lid 3 Termijn: 2 jaar na inwerkingtreding Art. 24 lid 5 Vormvrij: klassikaal, online of blended Art. 24 lid 4 Kennisactualisatie aantoonbaar bijhouden NVT Cbb Geen accreditatie-eis voor de opleider VERPLICHTE INHOUD CERTIFICAAT (art. 23 Cbb) ✓ Naam bestuurslid (persoonsgebonden) ✓ Datum(s) van de training ✓ Behandelde onderwerpen ✓ Naam van de aanbieder ✓ Opgesteld in het NL of EN X Aantal uren - NIET meer verplicht (geschrapt) Verplichte onderwerpen NIS2-Bestuurderstraining BLOK 1 - RISICO-IDENTIFICATIE Art. 22 lid 1 Cbb ✓ Soorten risico's voor netwerk- en informatiesystemen ✓ Risicomanagementproces ✓ Risicobeoordelingsmethodiek BLOK 2 - RISICOBEHEERSMAATREGELEN Art. 22 lid 2 Cbb jo. art. 21 lid 3 Cbw ✓ Beleid risicoanalyse en informatiebeveiliging ✓ Incidentenbehandeling ✓ Bedrijfscontinuïteit, back-up, herstelplannen en crisismanagement ✓ Supply chain beveiliging ✓ Beveiliging systeemontwikkeling, - onderhoud en -verwerving, incl. respons kwetsbaarheden ✓ Cryptografie en encryptie (waar passend) ✓ Cyberhygiëne en opleiding op het gebied van cyberbeveiliging ✓ Personeel, toegangsbeleid en assetbeheer ✓ MFA en beveiligde (nood)communicatie (waar passend) ✓ Effectiviteitsbeoordeling van maatregelen Achtergrond In de consultatiefase bevatte het Cbb trainerseisen (onafhankelijkheid, kwalificaties). Na kritische reacties van o.a. de G4 is dit artikel geschrapt, het ging verder dan de NIS2-richtlijn vereist. De Nota van Toelichting bevestigt dit expliciet in par. 4.7. Dit artikel is gebaseerd op de concept-versie van het Cyberbeveiligingsbesluit zoals verzonden aan de Tweede Kamer (juni 2025) en de bijbehorende Nota van Toelichting. Het Cbb is op het moment van publicatie nog niet in werking getreden. De inhoud kan wijzigen. -Privacy United

Juridische status 

Dit artikel is gebaseerd op de concept-versie van het Cyberbeveiligingsbesluit zoals verzonden aan de Tweede Kamer (juni 2025) en de bijbehorende Nota van Toelichting. Het Cbb is op het moment van publicatie nog niet in werking getreden. De inhoud kan wijzigen. Dit artikel is informatief van aard. Bronnen: Cyberbeveiligingswet (Cbw), Cyberbeveiligingsbesluit (Cbb), Nota van Toelichting (NvT), digitaleoverheid.nl. 

Publicatiedatum: 25 maart 2026  

Auteur: Guusje Emmen, Privacy Officer en adviseur NIS2 en AI bij Privacy United