Serieuze zakenman in pak staat bij stapel juridische documenten in donkere directiekamer met dramatische belichting

Wat zijn de persoonlijke aansprakelijkheden onder NIS2?

in

Onder de NIS2-richtlijn kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor tekortkomingen in cybersecuritycompliance. Dit betekent dat directieleden en andere leidinggevenden niet langer kunnen schuilen achter de rechtspersoon wanneer hun organisatie de verplichtingen rond cyberbeveiliging niet nakomt. De sancties variëren van administratieve boetes tot tijdelijke bestuursverboden. In dit artikel beantwoorden we de belangrijkste vragen over deze aansprakelijkheid en hoe je je als bestuurder kunt beschermen.

Wat houdt persoonlijke aansprakelijkheid onder NIS2 precies in?

Persoonlijke bestuurdersaansprakelijkheid onder NIS2 houdt in dat individuele bestuurders rechtstreeks verantwoordelijk kunnen worden gehouden voor het niet naleven van cybersecurityverplichtingen. Dit gaat verder dan de gebruikelijke bedrijfsaansprakelijkheid, waarbij alleen de organisatie als rechtspersoon aansprakelijk is.

Bij reguliere bedrijfsaansprakelijkheid draait de organisatie op voor schade of boetes. De NIS2-richtlijn doorbreekt deze bescherming expliciet. De Europese Unie heeft deze maatregel geïntroduceerd omdat cybersecurity te vaak werd gezien als een puur technische aangelegenheid. Door bestuurders persoonlijk verantwoordelijk te maken, wil de EU afdwingen dat cybersecurity een vast agendapunt wordt op bestuursniveau.

De directe verantwoordelijkheid van bestuurders omvat drie kernverplichtingen uit de NIS2:

  • Zorgplicht: het uitvoeren van risicobeoordelingen en het nemen van passende maatregelen om diensten en informatie te beschermen tegen cyberaanvallen
  • Meldplicht: het melden van incidenten die de levering van essentiële diensten kunnen verstoren, binnen 24 uur aan de toezichthouder en het CSIRT
  • Toezicht: het meewerken aan controles door de onafhankelijke toezichthouder

Welke bestuurders en functionarissen vallen onder de NIS2-aansprakelijkheid?

De NIS2-aansprakelijkheid richt zich primair op personen die daadwerkelijk beleid kunnen bepalen en beslissingen kunnen nemen over cybersecurity. Dit omvat statutaire bestuurders, directieleden en leden van de raad van commissarissen die toezicht houden op het bestuur.

De criteria voor aansprakelijkheid zijn gebaseerd op feitelijke invloed en beslissingsbevoegdheid. Niet de functietitel is bepalend, maar de vraag of iemand in de praktijk verantwoordelijk is voor het goedkeuren van cybersecuritybeleid, het toewijzen van budgetten voor beveiliging en het toezicht houden op de implementatie van maatregelen.

Voor IT-verantwoordelijken en security officers ligt de situatie genuanceerder. Zij zijn doorgaans uitvoerend verantwoordelijk en vallen niet automatisch onder de bestuurdersaansprakelijkheid. Wel kunnen zij aansprakelijk worden gesteld als zij bewust informatie hebben achtergehouden voor het bestuur of grove nalatigheid hebben getoond. De eindverantwoordelijkheid blijft bij het topmanagement liggen, ook wanneer het taken heeft gedelegeerd.

Welke sancties en boetes kunnen bestuurders persoonlijk krijgen?

Bestuurders kunnen onder NIS2 te maken krijgen met zowel administratieve boetes als andere persoonlijke consequenties. De financiële sancties kunnen oplopen tot aanzienlijke bedragen, afhankelijk van de ernst van de overtreding en de omvang van de organisatie.

De mogelijke persoonlijke consequenties omvatten:

  • Administratieve boetes die persoonlijk aan de bestuurder worden opgelegd
  • Tijdelijke bestuursverboden waardoor de bestuurder geen leidinggevende functies mag vervullen
  • Openbare bekendmaking van de overtreding en de verantwoordelijke personen
  • Civielrechtelijke aansprakelijkheid voor schade die derden lijden door het incident

De hoogte van sancties wordt bepaald door factoren zoals de ernst van de overtreding, of er sprake is van herhaling, de mate van medewerking met toezichthouders en de vraag of de bestuurder aantoonbaar maatregelen had getroffen. Een bestuurder die kan aantonen actief bezig te zijn geweest met compliance, loopt minder risico op zware sancties dan iemand die cybersecurity volledig heeft genegeerd.

Wanneer wordt een bestuurder daadwerkelijk persoonlijk aansprakelijk gesteld?

Persoonlijke aansprakelijkstelling vindt plaats wanneer een bestuurder zijn zorgplicht heeft verzaakt. Dit gebeurt niet automatisch bij elk cyberincident, maar wanneer blijkt dat de bestuurder onvoldoende toezicht heeft gehouden of bewust risico’s heeft genegeerd.

Concrete situaties waarin bestuurders risico lopen:

  • Het structureel negeren van adviezen van IT-securityspecialisten
  • Het niet beschikbaar stellen van voldoende budget voor noodzakelijke beveiligingsmaatregelen
  • Het ontbreken van een actuele risicobeoordeling terwijl dit verplicht is
  • Het niet melden van incidenten binnen de verplichte termijn van 24 uur
  • Het niet kunnen aantonen dat basispraktijken op het gebied van cyberhygiëne en training zijn geïmplementeerd

Nalatigheid wordt zwaarder aangerekend wanneer de bestuurder op de hoogte was van risico’s maar geen actie ondernam. Het niet bijwonen van trainingen over cybersecurity of het delegeren van alle verantwoordelijkheid zonder enige betrokkenheid vergroot het risico op persoonlijke aansprakelijkheid aanzienlijk.

Hoe kunnen bestuurders zich beschermen tegen NIS2-aansprakelijkheid?

Bestuurders kunnen hun aansprakelijkheidsrisico’s beperken door aantoonbaar due diligence te betrachten. Dit betekent actieve betrokkenheid bij cybersecurity en het documenteren van genomen beslissingen en maatregelen.

Praktische beschermingsmaatregelen:

  • Zorg voor regelmatige rapportages over cybersecurity op bestuursniveau
  • Volg trainingen om de materie te begrijpen en op de hoogte te blijven van de ontwikkelingen
  • Stel voldoende budget beschikbaar en documenteer de afwegingen
  • Implementeer een governancestructuur met duidelijke verantwoordelijkheden
  • Laat periodiek onafhankelijke audits uitvoeren
  • Zorg dat incidentbehandeling en bedrijfscontinuïteit zijn ingericht

Een effectieve governancestructuur houdt in dat cybersecurity een vast agendapunt is bij bestuursvergaderingen, dat er een verantwoordelijke is aangewezen voor de dagelijkse uitvoering en dat er escalatieprocedures bestaan. Het gebruik van multifactorauthenticatie en beveiligde communicatiesystemen hoort bij de basispraktijken die aantoonbaar moeten zijn geïmplementeerd.

Welke documentatie en bewijslast is nodig om compliance aan te tonen?

Bij een audit of incident moet een bestuurder kunnen aantonen dat hij zijn verantwoordelijkheid serieus heeft genomen. Dit vereist een gedegen audittrail van alle cybersecuritygerelateerde beslissingen en maatregelen.

Essentiële documentatie omvat:

  • Risicoanalyses: actuele beoordelingen van cyberbeveiligingsrisico’s en de genomen maatregelen
  • Beleidsplannen: vastgesteld cybersecuritybeleid met goedkeuring door het bestuur
  • Trainingsregistraties: bewijs dat personeel en bestuurders zijn getraind in cyberhygiëne
  • Incidentrapportages: documentatie van eerdere incidenten en de afhandeling
  • Notulen: verslagen van bestuursvergaderingen waarin cybersecurity is besproken
  • Contracten: afspraken met leveranciers over beveiliging van de toeleveringsketen

Een informatiebeveiligingsverklaring, zoals SOC 2 of een ISAE 3402-verklaring, kan helpen bij het aantonen van NIS2-compliance. Deze verklaringen bieden onafhankelijk bewijs van naleving van internationaal erkende informatiebeveiligingsnormen. Dit is relevant voor organisaties die hun compliance willen aantonen aan toezichthouders, klanten of andere stakeholders.

Hoe helpt Hoek en Blok IT bij NIS2-bestuurdersaansprakelijkheid?

Hoek en Blok IT ondersteunt bestuurders bij het beperken van hun persoonlijke aansprakelijkheidsrisico’s door pragmatische en betaalbare NIS2-compliancetrajecten. Met NOREA-gecertificeerde EDP-auditors biedt het bureau de expertise die nodig is voor aantoonbare compliance.

Concrete diensten voor bestuurders:

  • NIS2-nulmeting: inzicht in de huidige status en concrete verbeterpunten
  • IT-audits en assuranceverklaringen: ISAE 3000-, ISAE 3402- en SOC 2-verklaringen voor aantoonbare compliance
  • Securityassessments en penetratietests: onafhankelijke toetsing van de beveiligingsmaatregelen
  • IT Security Officer as-a-Service: structurele ondersteuning bij de dagelijkse uitvoering
  • Documentatie- en beleidsondersteuning: hulp bij het opzetten van de vereiste audittrail

Wil je weten hoe jouw organisatie ervoor staat en welke stappen nodig zijn om als bestuurder beschermd te zijn? Neem contact op voor een vrijblijvend adviesgesprek over NIS2-compliance en bestuurdersaansprakelijkheid.

7 essentiële NIS2 stappen voor IT-managers in 2026IT-manager plaatst laatste stuk van schildvormige puzzel op bureau, laptop en koffie op achtergrond in modern kantoorMessing rechtershamer op mahoniebureaus naast verzegelde documenten en euromunten, dramatische belichtingWat zijn de boetes voor DORA-overtredingen?