Messing voorzittershamer op open compliance-document met EU-vlagspeld, dramatische verlichting op mahoniehouten bestuurstafel

Bestuurlijke verantwoordelijkheid onder NIS 2: wat moet je als bestuurder weten?

in

De bestuurlijke verantwoordelijkheid NIS2 houdt in dat directieleden en bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor het niet naleven van cybersecurityverplichtingen. Onder de NIS2-richtlijn verschuift de verantwoordelijkheid van puur organisatorisch naar individueel, waarbij bestuurders actief betrokken moeten zijn bij risicobeheer en cybersecuritymaatregelen. Dit artikel beantwoordt de belangrijkste vragen over wat dit voor jou als bestuurder betekent.

Wat houdt bestuurlijke verantwoordelijkheid onder NIS2 precies in?

De NIS2-richtlijn bestuurder-verplichtingen markeren een fundamentele verschuiving in het juridische kader rondom cybersecurity. Waar voorheen de organisatie als geheel verantwoordelijk was, legt NIS2 expliciet vast dat het topmanagement persoonlijk verantwoordelijk is voor het goedkeuren van en toezien op cybersecuritymaatregelen. Dit betekent dat bestuurdersaansprakelijkheid voor cybersecurity nu een realiteit is waar je als directielid rekening mee moet houden.

De persoonlijke aansprakelijkheid onder NIS2 gaat verder dan alleen het ondertekenen van beleidsdocumenten. Als bestuurder moet je aantoonbaar betrokken zijn bij het risicobeheerproces en moet je kunnen laten zien dat je geïnformeerde beslissingen neemt over cybersecurityrisico’s. Het beleid moet door het bestuur worden vastgesteld en periodiek worden herzien, inclusief passende maatregelen voor risicoanalyse en beveiliging van informatiesystemen.

De NIS2-richtlijn eist dat organisaties een helder beleid hebben voor het beoordelen van de effectiviteit van cyberbeveiligingsmaatregelen. Dit beleid valt direct onder de verantwoordelijkheid van het bestuur, wat betekent dat je als bestuurder moet kunnen verantwoorden welke keuzes zijn gemaakt en waarom.

Welke concrete verplichtingen legt NIS2 op aan bestuurders?

De NIS2-verplichtingen voor de directie zijn concreet en meetbaar. Als bestuurder kun je niet langer passief delegeren aan de IT-afdeling. Je moet actief betrokken zijn bij de volgende taken:

  • Het goedkeuren van cybersecurityrisicobeheermaatregelen en het informatiebeveiligingsbeleid
  • Het volgen van verplichte cybersecuritytrainingen om voldoende kennis op te bouwen
  • Het waarborgen van adequate incidentrespons- en meldingsprocedures
  • Het periodiek evalueren van de effectiviteit van de genomen maatregelen
  • Het toewijzen van voldoende middelen en budget voor cybersecurity

De cybersecurityverantwoordelijkheid van bestuurders omvat ook het opzetten van een governance-structuur waarin duidelijk is wie waarvoor verantwoordelijk is. Een concept-risicoregister en een voorstel voor een governance- en verantwoordingsstructuur voor informatiebeveiliging zijn essentiële deliverables waar het bestuur goedkeuring aan moet geven.

Daarnaast moet je als bestuurder zorgen dat er een security officer binnen de organisatie is aangesteld en dat er adequate externe expertise wordt ingeschakeld waar nodig. Organisaties hebben een security officer nodig vanuit de eigen organisatie, aangevuld met externe expertise voor het totaalplaatje.

Wat zijn de risico’s en sancties bij niet-naleving van NIS2 voor bestuurders?

De NIS2-boetes voor bestuurders kunnen aanzienlijk zijn. Bij niet-naleving riskeer je als bestuurder administratieve boetes die kunnen oplopen tot miljoenen euro’s, afhankelijk van de omzet van de organisatie. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Naast financiële sancties bestaat het risico van persoonlijke aansprakelijkheid. Dit kan betekenen dat je als bestuurder privé aansprakelijk wordt gesteld voor schade die voortvloeit uit cybersecurity-incidenten. In ernstige gevallen kunnen toezichthouders zelfs bestuursverboden opleggen, waardoor je tijdelijk geen bestuursfuncties mag bekleden.

De ernst van de sancties hangt af van verschillende factoren:

  • De mate waarin je als bestuurder aantoonbaar betrokken was bij het risicobeheer
  • Of er sprake was van herhaalde overtredingen
  • De impact van het incident op betrokken partijen
  • De mate van medewerking met toezichthouders na een incident

Voor grote organisaties die onder Annex 1 vallen, wordt proactief toezicht toegepast. Dit betekent dat toezichthouders actief controleren of je organisatie aan de eisen voldoet, nog voordat er een incident plaatsvindt.

Hoe bereid je je als bestuurder voor op de NIS2-deadline van 2026?

De NIS2-implementatie door het management vraagt om een gestructureerde aanpak. De deadline van 1 juli 2026 lijkt ver weg, maar een gedegen implementatietraject kost tijd. Een pragmatische aanpak bestaat uit vijf fasen die je als bestuurder moet doorlopen.

Start met het analyseren van de cyberrisico’s. Dit omvat het inventariseren van IT-middelen die nodig zijn voor diensten die onder NIS2 vallen, het uitvoeren van een IT-securitytest om kwetsbaarheden te identificeren en een risicoanalyse om de kans en impact van cyberbeveiligingsrisico’s te bepalen.

Vervolgens bepaal je welke maatregelen nodig zijn via een gap-analyse. Deze analyse toont het verschil tussen de huidige en gewenste situatie en vormt de basis voor een concreet actieplan. Een NIS2-nulmeting is hierbij een belangrijke eerste stap om te beoordelen hoe goed jouw organisatie voorbereid is op de nieuwe eisen.

Na de analyse volgt het opstellen en uitvoeren van het actieplan, waarin maatregelen, verantwoordelijken en de frequentie van uitvoering worden beschreven. De maatregelen moeten structureel worden geïntegreerd in dagelijkse werkzaamheden, cultuur en strategie. Tot slot zijn periodieke controle en verbetering essentieel om NIS2-compliance door het bestuur te waarborgen.

Welke cybersecuritykennis hebben bestuurders nodig onder NIS2?

De NIS2-aansprakelijkheid voor bestuurders vereist dat je voldoende kennis hebt om geïnformeerde beslissingen te nemen over cybersecurityrisico’s. Dit betekent niet dat je een technisch expert moet worden, maar je moet wel de basis begrijpen.

Verplichte trainingen en bewustwordingsprogramma’s voor het topmanagement zijn onderdeel van de NIS2-eisen. Als bestuurder moet je minimaal kennis hebben van:

  • De belangrijkste cyberdreigingen en hoe deze jouw organisatie kunnen raken
  • Basisprincipes van risicobeheer en hoe je risico’s kunt afwegen
  • De governance-structuur rondom informatiebeveiliging
  • Incidentresponsprocedures en je rol daarin
  • Het gebruik van cryptografie en encryptie op hoofdlijnen

De effectiviteit van maatregelen moet periodiek worden geëvalueerd om te zorgen dat zij adequaat blijven. Als bestuurder moet je de uitkomsten van deze evaluaties kunnen interpreteren en daar conclusies aan verbinden. Security-awarenesstraining specifiek gericht op directieniveau helpt je om deze kennis op te bouwen zonder dat je diep in de technische details hoeft te duiken.

Hoe helpt Hoek en Blok IT bij bestuurlijke NIS2-compliance?

Hoek en Blok IT ondersteunt bestuurders bij het voldoen aan de NIS2-verplichtingen met een pragmatische en betaalbare aanpak. De dienstverlening is specifiek gericht op het helpen van directieleden bij het nemen van hun verantwoordelijkheid, zonder dat zij zelf cybersecurity-expert hoeven te worden.

Concrete diensten voor bestuurlijke NIS2-compliance:

  • NIS2-gap-analyse en nulmeting: inzicht in de huidige status en identificatie van ontbrekende maatregelen
  • Security-awarenesstrainingen voor de directie: specifiek ontwikkeld voor bestuurders om aan de kennisvereisten te voldoen
  • IT Security Officer as a Service: governance-ondersteuning zonder een fulltime medewerker te hoeven aannemen
  • Begeleiding bij risicobeheerprocessen: opzetten van compliant governance-structuren en risicoregisters
  • Periodieke effectiviteitsbeoordelingen: controle of maatregelen adequaat blijven

De NOREA-gecertificeerde auditors van Hoek en Blok IT combineren technische expertise met auditervaring om jouw organisatie te helpen bij het aantonen van adequate procesbeheersing en risicobeheersing. Neem contact op voor een vrijblijvend gesprek over hoe jij als bestuurder kunt voldoen aan de NIS2-verplichtingen voordat de deadline van 1 juli 2026 verstrijkt.