Rode dominostenen vallen om op een gepolijste mahonie directietafel met dramatische zijverlichting en lange schaduwen

5 NIS2 risico’s die topmanagement moet begrijpen

in

De NIS2-richtlijn verandert fundamenteel hoe organisaties naar cybersecurity moeten kijken. Waar beveiliging voorheen vooral een technische aangelegenheid was, is het nu een bestuurlijke verantwoordelijkheid met persoonlijke consequenties. Als bestuurder of ondernemer kun je niet langer volstaan met de vraag “Is onze IT op orde?” aan je IT-afdeling. De eerste operationele deadlines naderen in 2026, en de gevolgen van non-compliance raken direct de boardroom. Dit artikel belicht vijf cruciale risico’s die elk lid van het topmanagement moet begrijpen om de organisatie én zichzelf te beschermen.

1. Persoonlijke aansprakelijkheid bij non-compliance

Onder de NIS2-richtlijn vindt een fundamentele verschuiving plaats: van organisatorische naar persoonlijke verantwoordelijkheid. Dit betekent dat bestuurders individueel aansprakelijk kunnen worden gesteld wanneer de organisatie niet voldoet aan de cybersecurity-eisen. Het gaat hierbij niet om een theoretisch risico, maar om concrete juridische consequenties die je persoonlijke positie kunnen raken.

Wanneer kan een bestuurder aansprakelijk worden gesteld? Denk aan situaties waarin onvoldoende budget is vrijgemaakt voor noodzakelijke beveiligingsmaatregelen, wanneer bekende risico’s bewust zijn genegeerd, of wanneer de organisatie structureel tekortschiet in het implementeren van vereiste maatregelen. De wet verwacht dat bestuurders actief betrokken zijn bij cybersecuritybeslissingen en deze materie begrijpen.

De kernboodschap: cybersecurity is geen IT-kwestie meer die je kunt delegeren. Als bestuurder moet je de materie begrijpen en aantoonbaar betrokken zijn bij de besluitvorming rondom risicobeheer.

2. Hoge boetes die de organisatie kunnen treffen

Het boetekader onder NIS2 is substantieel en vergelijkbaar met de AVG/GDPR-sancties die inmiddels breed bekend zijn. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten gelden maxima van 7 miljoen euro of 1,4% van de omzet.

De hoogte van een boete wordt bepaald door verschillende factoren: de ernst van de overtreding, of er sprake is van herhaling, welke maatregelen de organisatie heeft genomen om schade te beperken, en de mate van medewerking met toezichthouders. Een organisatie die kan aantonen proactief te hebben gehandeld, zal doorgaans milder worden beoordeeld dan een organisatie die structureel nalatig is geweest.

Type entiteit Maximale boete Percentage omzet
Essentiële entiteit € 10.000.000 2% wereldwijde jaaromzet
Belangrijke entiteit € 7.000.000 1,4% wereldwijde jaaromzet

3. Onvoldoende zicht op de supplychainrisico’s

NIS2 stelt expliciete eisen aan de beveiliging van de toeleveringsketen. Organisaties worden verantwoordelijk gehouden voor de cybersecurity van hun leveranciers en ketenpartners. Dit betekent dat een incident bij een leverancier direct gevolgen kan hebben voor jouw compliance­status.

De richtlijn vereist dat organisaties due diligence uitvoeren op hun leveranciers, contractuele afspraken maken over beveiligingseisen en periodiek controleren of partners aan deze eisen voldoen. Veel organisaties hebben onvoldoende zicht op welke leveranciers toegang hebben tot kritieke systemen of data, laat staan op het beveiligingsniveau van deze partijen.

Praktisch betekent dit dat je als organisatie moet inventariseren welke IT-middelen nodig zijn voor dienstverlening die onder NIS2 valt, en welke leveranciers hierbij betrokken zijn. Vervolgens moeten contracten worden herzien en aangevuld met beveiligingsclausules, en moet er een structureel proces komen voor het monitoren van leveranciersrisico’s.

4. Wat gebeurt er bij een incident zonder meldplan?

De NIS2-richtlijn hanteert strikte termijnen voor incidentmelding. Binnen 24 uur na ontdekking van een significant incident moet een eerste melding plaatsvinden bij de bevoegde autoriteit. Binnen 72 uur volgt een uitgebreidere melding met meer details over de aard en impact van het incident.

Wat zijn de gevolgen van te late of ontbrekende meldingen? Naast mogelijke boetes kan het leiden tot verscherpt toezicht, reputatieschade en verminderd vertrouwen van klanten en partners. Bovendien kan het ontbreken van een adequaat incidentresponseplan wijzen op structurele tekortkomingen in de governance, wat de positie van bestuurders verder verzwakt.

Een effectief incidentresponseplan bevat minimaal: duidelijke rollen en verantwoordelijkheden, escalatieprocedures, communicatieprotocollen en een proces voor het documenteren en analyseren van incidenten. Het management speelt hierin een cruciale rol, niet alleen bij de goedkeuring van het plan, maar ook bij de uitvoering wanneer een incident zich voordoet.

5. Gebrek aan aantoonbare cybersecuritygovernance

Er bestaat een wezenlijk verschil tussen “security doen” en “security kunnen bewijzen”. Veel organisaties hebben wel degelijk beveiligingsmaatregelen geïmplementeerd, maar kunnen dit niet adequaat aantonen aan toezichthouders. NIS2 vereist aantoonbare compliance door middel van documentatie, audits en rapportages.

De governance-eisen onder NIS2 omvatten onder meer: een helder informatiebeveiligingsbeleid dat door het bestuur is vastgesteld, een risicomanagementmethodiek met criteria voor risicoacceptatie, periodieke beoordeling van de effectiviteit van maatregelen en documentatie van genomen beslissingen. De resultaten van risicobeoordelingen en de acceptatie van restrisico’s moeten expliciet door bestuursorganen worden goedgekeurd.

Organisaties die structureel werken aan hun cybersecurityvolwassenheid bouwen een dossier op dat bij een audit of incident aantoont dat zij hun zorgplicht serieus nemen. Dit beschermt niet alleen de organisatie, maar ook de individuele bestuurders tegen aansprakelijkheidsclaims.

Zo helpt Hoek en Blok IT bij NIS2-compliance

Hoek en Blok IT ondersteunt organisaties bij het pragmatisch en betaalbaar realiseren van NIS2-compliance. Met een bewezen aanpak die bestaat uit vijf fasen, van analyse tot continue verbetering, helpen wij organisaties om niet alleen te voldoen aan de wettelijke eisen, maar ook daadwerkelijk weerbaarder te worden tegen cyberdreigingen.

Onze concrete diensten voor NIS2-implementatie omvatten:

  • NIS2-nulmeting: inzicht in kroonjuwelen, risico’s en te nemen maatregelen
  • IT-audits en securityassessments: identificatie van kwetsbaarheden in techniek, mensen en processen
  • ISAE 3000/3402-verklaringen: aantoonbare compliance richting toezichthouders en stakeholders
  • Penetratietests: technische validatie van beveiligingsmaatregelen
  • IT Security Officer as a Service: structurele ondersteuning zonder fulltime aanstelling

Na een nulmeting beschik je over een risicoregister, een helder informatiebeveiligingsbeleid en een concreet adviesrapport met verbetermaatregelen. Wil je weten waar jouw organisatie staat en welke stappen nodig zijn richting 2026? Neem contact op voor een vrijblijvend gesprek over de mogelijkheden.