Ingrid
Ingrid › Blauwhuys

Blauwhuys

Ingrid
Goedemiddag 👋 Welkom bij Blauwhuys.

Wij helpen bedrijven grip te krijgen op processen en te vereenvoudigen.

Hoe kunnen we jou helpen?
Gratis NIS2 Checklist Onze procesoplossing BPMdesk Bel ons: 085 369 60 58
Blauwhuys > NIS2 > NIS2 en digitale weerbaarheid: wat betekent bestuurlijke aansprakelijkheid voor bestuurders?

NIS2 en digitale weerbaarheid: wat betekent bestuurlijke aansprakelijkheid voor bestuurders?

Last updated on 1 juni 2026 NIS2
Cybersecurity foto blog

NIS2 en digitale weerbaarheid: wat betekent bestuurlijke aansprakelijkheid voor bestuurders?

Cybersecurity was jarenlang vooral een IT-onderwerp. Met NIS2 verandert dat. Bestuurders krijgen expliciet verantwoordelijkheid voor de digitale weerbaarheid van hun organisatie. Dat vraagt om actief toezicht, inzicht in risico’s en aantoonbare betrokkenheid bij cybersecuritybeleid. Zeker bij middelgrote organisaties is dat vaak nog onvoldoende ingericht. Maar wanneer ontstaat bestuurlijke aansprakelijkheid precies? En wat verwacht NIS2 concreet van bestuurders?

Waarom NIS2 bestuurders expliciet verantwoordelijk maakt

Met NIS2 wil de Europese Unie cyberbeveiliging structureel verankeren binnen organisaties. Daarom richt de wet zich niet alleen op IT-afdelingen, maar direct op het bestuur. Dat is een belangrijke verschuiving. Cybersecurity wordt onder NIS2 gezien als onderdeel van goed bestuur en risicomanagement. Net zoals financiële controles, privacy of operationele continuïteit.

Bestuurders moeten daarom actief betrokken zijn bij de aanpak van cyberrisico’s. De wet verwacht onder andere dat zij:

  • Cybersecuritymaatregelen goedkeuren
  • Toezicht houden op de uitvoering
  • Risico’s kunnen beoordelen
  • Strategische keuzes maken rondom cyberveiligheid
  • Verantwoordelijkheid nemen voor naleving

Daarmee ontstaat ook bestuurlijke aansprakelijkheid. Een bestuur kan zich straks niet meer volledig beroepen op externe IT partijen of interne specialisten. Ook wanneer taken zijn gedelegeerd aan bijvoorbeeld een CISO of IT-manager, blijft het bestuur eindverantwoordelijk.

Juist daar gaat het in de praktijk vaak mis. Veel organisaties hebben technische maatregelen ingericht, maar missen bestuurlijke sturing, rapportages en duidelijke verantwoordelijkheden. Toezichthouders kijken onder NIS2 niet alleen naar technologie, maar ook naar governance. Is cyberbeveiliging structureel onderdeel van besluitvorming? Zijn risico’s aantoonbaar besproken? Is er toezicht vanuit het bestuur? Voor organisaties die dit nog onvoldoende hebben ingericht, ontstaat een serieus compliance risico.

Wanneer bestuurders aansprakelijk kunnen worden gesteld

De bestuurlijke aansprakelijkheid onder NIS2 draait niet om één cyberincident. Het gaat vooral om nalatigheid. Toezichthouders kijken naar de vraag of een organisatie aantoonbaar passende maatregelen heeft genomen én of het management daar actief op heeft gestuurd. Dat betekent dat aansprakelijkheid vooral ontstaat wanneer cyberbeveiliging structureel onvoldoende aandacht krijgt op bestuursniveau.

Denk bijvoorbeeld aan situaties waarin:

  • Risicoanalyses ontbreken
  • Bekende kwetsbaarheden niet worden opgepakt
  • Incidenten niet worden gemeld
  • Verantwoordelijkheden onduidelijk zijn
  • Het bestuur onvoldoende toezicht houdt
  • Cyberrisico’s nooit besproken worden binnen het MT

In zulke gevallen kan een toezichthouder concluderen dat een organisatie onvoldoende grip had op haar digitale weerbaarheid.

Een praktijkvoorbeeld:

Een organisatie wordt getroffen door ransomware via een externe leverancier. Achteraf blijkt dat er nooit kritisch is gekeken naar leveranciersrisico’s, terwijl dit wel onderdeel is van de zorgplicht onder NIS2. Daarnaast ontving het management geen structurele rapportages over cyberrisico’s en was er geen duidelijk incidentproces ingericht.

In zo’n situatie ontstaat niet alleen operationele schade, maar ook bestuurlijk risico. Belangrijk om te begrijpen is dat bestuurders niet persoonlijk aansprakelijk worden omdat een hack plaatsvindt. Geen enkele organisatie kan alle incidenten voorkomen. Het probleem ontstaat wanneer organisaties onvoldoende kunnen aantonen dat zij redelijke en passende maatregelen hebben genomen.

Juist daarom verschuift de focus onder NIS2 naar governance en aantoonbaarheid. Toezichthouders willen zien dat cyberbeveiliging structureel onderdeel is van besluitvorming en risicomanagement.

Dat vraagt om meer dan alleen technische beveiliging. Organisaties moeten kunnen laten zien:

  • Welke risico’s bekend zijn
  • Welke maatregelen zijn genomen
  • Wie verantwoordelijk is
  • Hoe toezicht plaatsvindt
  • Hoe management wordt geïnformeerd
  • Welke afwegingen zijn gemaakt
  • Veel middelgrote organisaties hebben dit nog onvoldoende ingericht. Cybersecurity ligt vaak volledig bij IT, terwijl management en directie beperkt betrokken zijn. Onder NIS2 wordt dat een risico op zichzelf.

Welke verplichtingen bestuurders krijgen onder NIS2

NIS2 verwacht dat bestuurders actief betrokken zijn bij cyberbeveiliging. De wet noemt daarbij meerdere concrete verantwoordelijkheden.

Goedkeuren van maatregelen

Bestuurders moeten cybersecuritymaatregelen actief goedkeuren. Het gaat dus niet alleen om kennisnemen van beleid, maar om bestuurlijke betrokkenheid bij de keuzes die worden gemaakt. Denk aan besluiten rondom:

  • Risicobeheersing
  • Leveranciersbeleid
  • Incidentprocessen
  • Continuïteitsmaatregelen
  • Beveiligingsinvesteringen
  • Cybersecurity wordt daarmee onderdeel van strategische besluitvorming.
  • Toezicht houden op uitvoering

Naast goedkeuring moet het management ook toezicht houden op de uitvoering van maatregelen. In de praktijk betekent dit dat bestuurders periodiek inzicht moeten krijgen in:

  • Actuele risico’s
  • Incidenten
  • Kwetsbaarheden
  • Voortgang van maatregelen
  • Auditresultaten
  • Compliance status

Een bestuurder hoeft geen technisch specialist te zijn, maar moet wel kritische vragen kunnen stellen.

Cybersecurity structureel agenderen

Binnen veel organisaties wordt cybersecurity pas besproken na een incident. Onder NIS2 is dat onvoldoende. Cyberbeveiliging moet structureel terugkomen binnen management- en bestuursvergaderingen. Bijvoorbeeld als onderdeel van:

  • Risicomanagement
  • Compliance
  • Operationele continuïteit
  • Leveranciersmanagement

Daarmee wordt cybersecurity een vast onderdeel van governance.

Risico’s kunnen beoordelen

Bestuurders moeten voldoende kennis hebben om cyberrisico’s te begrijpen en de impact ervan op de organisatie te beoordelen. Denk aan onderwerpen zoals:

  • Ransomware
  • Supply chain aanvallen
  • Datalekken
  • Uitval van kritieke systemen
  • Afhankelijkheid van leveranciers

Voor veel managementteams betekent dit een nieuwe verantwoordelijkheid. Zeker wanneer cybersecurity eerder vooral technisch werd benaderd.

Is een cybersecurityopleiding verplicht voor bestuurders?

Ja. Met de komst van de Cyberbeveiligingswet krijgen bestuurders maximaal twee jaar de tijd om hun kennis van cybersecurity op niveau te brengen en zich hierin aantoonbaar te ontwikkelen.

De wet verwacht dat bestuurders over voldoende kennis en vaardigheden beschikken om cyberrisico’s te begrijpen en daarover weloverwogen besluiten te nemen. Dat betekent niet dat iedere bestuurder een technisch specialist moet worden. Managementteams moeten wél aantoonbaar in staat zijn om risico’s te beoordelen en effectief toezicht te houden op cyberbeveiliging.

Voor veel organisaties betekent dit een duidelijke verandering in verantwoordelijkheden en governance.

In de praktijk zien we vaak dat cybersecurity volledig wordt neergelegd bij IT of externe leveranciers. Het management ontvangt beperkte informatie en vertrouwt vooral op technische specialisten. Onder NIS2 is dat onvoldoende.

Bestuurders moeten straks bijvoorbeeld begrijpen:

  • Wat de grootste cyberrisico’s zijn
  • Welke impact een incident kan hebben
  • Hoe afhankelijk de organisatie is van leveranciers
  • Wat de meldplicht inhoudt
  • Welke maatregelen passend zijn
  • Waar de grootste kwetsbaarheden zitten

Daarnaast wordt actuele kennis steeds belangrijker. Cyberdreigingen veranderen continu. Een eenmalige awareness training is daarom niet genoeg.

Een praktijkvoorbeeld:

Een organisatie heeft een IT-leverancier die de beveiliging volledig beheert. Tijdens een audit blijkt echter dat het management nauwelijks inzicht heeft in risico’s, verantwoordelijkheden of incidentprocedures. Niemand binnen het MT kan uitleggen welke maatregelen zijn genomen of hoe leveranciers worden beoordeeld.

Ondanks de aanwezigheid van technische beveiliging ontstaat er dan alsnog een compliance probleem.

Volgens de Nederlandse uitwerking van de Cyberbeveiligingswet moeten bestuurders bovendien aantoonbaar kunnen maken dat zij opleidingen of trainingen hebben gevolgd. Toezichthouders kunnen hier actief naar vragen.

De focus ligt daarbij niet op een specifiek diploma, maar op aantoonbare en actuele kennis die past bij de risico’s van de organisatie.

Waarom veel organisaties nog onvoldoende voorbereid zijn

Veel organisaties denken dat zij redelijk goed voorbereid zijn op NIS2. In de praktijk blijkt dat vaak tegen te vallen. Dat komt vooral doordat cyberbeveiliging nog regelmatig wordt gezien als een technisch vraagstuk. Zolang er firewalls, monitoring en een IT-leverancier aanwezig zijn, ontstaat al snel het gevoel dat de basis op orde is. Maar NIS2 kijkt breder.

Toezichthouders beoordelen straks niet alleen technische maatregelen, maar juist ook governance, verantwoordelijkheid en aantoonbaarheid.

En precies daar ontstaan vaak de grootste gaten.

Veel middelgrote organisaties hebben bijvoorbeeld:

  • Geen structurele rapportages richting management
  • Geen vaste governance rondom cyberrisico’s
  • Onduidelijke verantwoordelijkheden
  • Beperkte betrokkenheid vanuit directie
  • Geen overzicht van leveranciersrisico’s
  • Onvoldoende documentatie van keuzes en maatregelen

Daardoor ontstaat schijnveiligheid. Technisch lijkt er veel geregeld, terwijl bestuurlijk onvoldoende grip aanwezig is.

Dat wordt extra risicovol bij incidenten. Stel dat een organisatie wordt geraakt door een supply chain aanval via een softwareleverancier. Wanneer vervolgens blijkt dat leveranciers nooit zijn beoordeeld op cyberrisico’s of dat cyberbeveiliging nauwelijks besproken werd binnen het managementteam, ontstaat direct een kwetsbare positie richting toezichthouders.

Juist daarom vraagt NIS2 om een volwassen aanpak waarin governance, processen en verantwoordelijkheden centraal staan. Cybersecurity wordt daarmee niet alleen een IT-onderwerp, maar een organisatiebreed managementvraagstuk.

Wat bestuurders vandaag al zouden moeten regelen

Voor organisaties die onder NIS2 vallen, is wachten geen verstandige strategie. Bestuurders kunnen nu al stappen zetten om risico’s te verkleinen en beter voorbereid te zijn op toezicht. Een goed startpunt is het creëren van bestuurlijk overzicht.

Dat begint met vragen zoals:

  • Welke cyberrisico’s zijn voor onze organisatie het grootst?
  • Welke systemen en processen zijn kritisch?
  • Hoe afhankelijk zijn we van leveranciers?
  • Hoe worden incidenten gemeld en opgevolgd?
  • Wie is verantwoordelijk voor toezicht?
  • Welke rapportages ontvangt het management?
  • Kunnen we aantonen welke maatregelen zijn genomen?

Daarnaast is het belangrijk om cybersecurity structureel onderdeel te maken van governance en risicomanagement.

Praktisch betekent dit bijvoorbeeld:

  • Cyberbeveiliging vast opnemen op MT agenda’s
  • Duidelijke verantwoordelijkheden vastleggen
  • Periodieke risicoanalyses uitvoeren
  • Leveranciersrisico’s beoordelen
  • Incidentprocessen testen
  • Managementtraining organiseren
  • Besluitvorming documenteren

Veel organisaties ontdekken tijdens dit proces dat technische maatregelen vaak beter geregeld zijn dan bestuurlijke processen.

Juist daar kan een onafhankelijke NIS2 audit waardevol zijn. Niet alleen om tekortkomingen zichtbaar te maken, maar vooral om overzicht, prioriteiten en bestuurlijke grip te creëren.

Hoe Blauwhuys organisaties helpt grip te krijgen op NIS2 governance

Voor veel organisaties is NIS2 geen puur technisch vraagstuk, maar vooral een governance uitdaging. Bestuurders moeten grip krijgen op risico’s, verantwoordelijkheden en aantoonbare compliance.

Blauwhuys helpt organisaties om die vertaalslag concreet te maken. Niet met dikke rapporten of complexe theorie, maar met een praktische aanpak die inzicht geeft in:

  • Bestuurlijke verantwoordelijkheden
  • Governance en risicobeheersing
  • Processen en documentatie
  • Leveranciersrisico’s
  • Compliance gaps
  • Benodigde maatregelen

Samen brengen we in kaart waar de grootste risico’s zitten en welke stappen nodig zijn om aantoonbaar beter voorbereid te zijn op NIS2. Zo wordt cybersecurity niet alleen een verplichting, maar een structureel onderdeel van goed bestuur.

Wil je weten hoe volwassen jouw organisatie momenteel is op het gebied van NIS2 governance en bestuurlijke verantwoordelijkheid? Dan helpt een NIS2 audit om snel inzicht te krijgen in de belangrijkste risico’s, aandachtspunten en vervolgstappen.

Categorieën
Social

Related articles

Enquire now

Give us a call or fill in the form below and we will contact you. We endeavor to answer all inquiries within 24 hours on business days.
+31 85 369 60 58
+31 6 1983 4982