16 april 2026 • NIS2
Met NIS2 is cybersecurity geen onderwerp meer dat een bestuur kan delegeren en vergeten. De richtlijn legt de verantwoordelijkheid expliciet bij het management en maakt bestuurders in bepaalde gevallen persoonlijk aansprakelijk. Wie dat onderschat, loopt niet alleen een organisatorisch risico, maar ook een persoonlijk juridisch risico.
Wat NIS2 zegt over de rol van bestuurders
NIS2 artikel 20 is helder: de bestuursorganen van organisaties die onder de richtlijn vallen, moeten de cybersecuritymaatregelen goedkeuren en actief toezicht houden op de uitvoering ervan. Dat is een fundamentele verschuiving ten opzichte van de oude NIS1-richtlijn, waarbij cybersecurity in de praktijk grotendeels bij de IT-afdeling lag.
NIS2 vereist dat bestuurders voldoende kennis hebben van cybersecurityrisico's om hun toezichthoudende rol serieus in te kunnen vullen. De richtlijn schrijft zelfs expliciet voor dat bestuursleden training moeten volgen op dit gebied. Verwijzen naar een CISO of een extern securitybedrijf is niet voldoende; de eindverantwoordelijkheid ligt bij het bestuur.
Persoonlijke aansprakelijkheid: wat dit in de praktijk betekent
In Nederland is NIS2 omgezet in de Cyberbeveiligingswet (Cbw). Die wet voorziet in een aansprakelijkheidsregime dat verder gaat dan organisatorische boetes. Bij aantoonbare nalatigheid van een bestuurder kan de toezichthouder overgaan tot het tijdelijk verbieden van de uitoefening van leidinggevende functies. De maatregel treft de persoon, niet de organisatie.
Concreet: een bestuurder die structureel heeft verzuimd om adequate cybersecuritymaatregelen te laten treffen, of die een ernstig incident heeft genegeerd of verborgen gehouden, kan tijdelijk uit functie worden gezet. Deze bevoegdheid is uitdrukkelijk bedoeld als prikkel om bestuurders hun verantwoordelijkheid serieus te laten nemen.
De persoonlijke aansprakelijkheidsbepaling in de Cyberbeveiligingswet geldt uitsluitend bij aantoonbare nalatigheid van een individuele bestuurder. Het gaat niet om een automatisme bij elk incident, maar om situaties waarin het bestuur structureel heeft gefaald in zijn toezichthoudende rol.
Welke organisaties vallen onder deze regels?
NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, drinkwater en digitale infrastructuur. Belangrijke entiteiten zijn middelgrote organisaties in diezelfde sectoren, aangevuld met onder andere de chemische industrie, voedselproductie en digitale dienstverleners.
De bestuurlijke verplichtingen uit NIS2 artikel 20 gelden voor beide categorieën. Het verschil zit in de intensiteit van het toezicht: essentiële entiteiten kunnen worden onderworpen aan proactieve controles, terwijl toezicht op belangrijke entiteiten in beginsel reactief is, op basis van meldingen of incidenten.
| Categorie | Maat | Begeleiding | Max. boete |
|---|---|---|---|
| Essentiële entiteit | Groot (250+ werknemers of 50 miljoen+ omzet) | Proactief | 10 miljoen euro of 2% van de wereldwijde omzet |
| Belangrijke entiteit | Middelgroot (50 tot 250 medewerkers) | Reactief | 7 miljoen euro of 1,4% van de wereldwijde omzet |
Wat wordt er eigenlijk van bestuurders verwacht?
De wet stelt geen specifieke technische eisen aan bestuursleden, maar wel aan de organisatie en de werkwijze. In de praktijk komen die neer op vier verantwoordelijkheden:
- Goedkeuring van het beleid: het bestuur moet het cyberbeveiligingsbeleid formeel goedkeuren en regelmatig herzien, en mag het niet alleen ter informatie in ontvangst nemen.
- Budget toewijzen: voor adequate veiligheidsmaatregelen zijn middelen nodig. Het bestuur is verantwoordelijk voor het beschikbaar stellen van die middelen.
- Toezicht uitoefenen: er moeten rapportagelijnen zijn waardoor de raad van bestuur de beveiligingsstatus van de organisatie kan beoordelen, ook zonder technische expertise.
- Opvolging van incidenten: wanneer zich een ernstig incident voordoet, moet de raad van bestuur actief betrokken zijn bij de aanpak ervan en moet hij voldoen aan de meldingsplicht jegens de toezichthoudende autoriteiten.
De meldingsplicht en de rol van het bestuur daarin
NIS2 stelt strenge meldingsvereisten voor ernstige incidenten. Een eerste melding moet binnen 24 uur na ontdekking bij de bevoegde autoriteit binnen zijn. Binnen 72 uur volgt een gedetailleerd rapport en binnen een maand een eindrapport. Bij dit tijdschema wordt ervan uitgegaan dat de raad van bestuur onmiddellijk op de hoogte wordt gesteld en snel kan handelen.
Een directeur die niet weet hoe de interne escalatieprocedures in elkaar zitten, of die pas dagen later hoort over een ernstig incident, zorgt voor onnodige problemen. Zowel inhoudelijk als juridisch. Het nakomen van de meldingsplicht is immers een van de zaken die toezichthouders relatief eenvoudig kunnen controleren.
Hoe bereid je je voor als bestuurder?
Voorbereiding begint met inzicht. Een directeur hoeft geen beveiligingsexpert te zijn, maar moet wel begrijpen met welke risico’s de organisatie te maken heeft, welke maatregelen er zijn getroffen en hoe de organisatie reageert als er iets misgaat. Dat vraagt om periodieke beveiligingsrapportages op bestuursniveau, duidelijke escalatieregels en een incidentresponsplan waarmee het bestuur vertrouwd is.
NIS2 vereist ook expliciet dat bestuurders een cybersecurity training volgen. Niet om ze technisch onderlegd te maken, maar om ze in staat te stellen risico's af te wegen en beleid te evalueren. Organisaties die dit serieus nemen, documenteren die training ook, zodat ze tijdens een audit kunnen aantonen dat het bestuur aan zijn verplichtingen heeft voldaan.
Security awareness is een onderschatte schakel in die keten, en niet alleen voor medewerkers. Een directeur die een phishingpoging herkent, begrijpt wat er op het spel staat wanneer een medewerker dat niet doet. Guardey helpt organisaties die awareness te verankeren op elk niveau, van de werkvloer tot de directiekamer.
NIS2 naleving begint hier
Bouw een security cultuur voordat de toezichthouder aanklopt.