NIS2 Bestuursaansprakelijkheid en persoonlijke aansprakelijkheid

Cybersecurity werd jarenlang vooral gezien als iets technisch. Firewalls, antivirus, patchmanagement: het klonk allemaal als werk voor de IT-afdeling. Voor bestuurders was het vaak niet meer dan een periodiek agendapunt: een korte update of risicorapportage.

Met de komst van de NIS2-richtlijn verandert dat compleet. Voor het eerst legt Europese wetgeving vast dat bestuurders persoonlijk aansprakelijk kunnen worden gehouden als het cybersecuritybeleid tekortschiet. Niet alleen de organisatie kan dus een boete krijgen, maar ook bestuurders zelf kunnen verantwoordelijk worden gesteld. Cybersecurity is daarmee officieel doorgedrongen tot de bestuurskamer.

En dat vraagt om een nieuwe manier van denken. Veel bestuurders zijn gewend om risico’s te bekijken in financiële of juridische termen. Digitale risico’s? Die lagen meestal bij IT. Maar die tijd is voorbij. In dit blog nemen we je mee in wat NIS2 precies inhoudt, waarom deze richtlijn zo’n grote verandering betekent, hoe Nederland dit vertaalt in de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (CBB), én vooral: wat jij als bestuurder nu concreet moet doen.

De Europese Commissie onderzocht de afgelopen jaren talloze cyberincidenten: van ransomware-aanvallen op ziekenhuizen tot sabotage van productiesystemen in de maakindustrie. Ook banken en overheden werden getroffen door grootschalige DDoS-aanvallen.

De conclusie was steeds dezelfde: de kennis was er vaak wél. Technische teams wisten precies wat nodig was, maar het bestuur gaf onvoldoende prioriteit of budget om die maatregelen echt goed te regelen.

Een herkenbaar voorbeeld: de IT-manager adviseert al jaren om verouderde systemen te vervangen. Het bestuur stelt de investering echter uit, omdat de kosten hoog zijn en de risico’s “voorlopig wel meevallen”. Totdat het misgaat. Na een groot incident blijken de herstelkosten vele malen hoger dan de investering ooit zou zijn geweest.

Europa wil dit patroon doorbreken. Met de NIS2-richtlijn worden bestuurders direct verantwoordelijk gemaakt voor het cybersecuritybeleid. Door cybersecurity niet langer te zien als een IT-kwestie, maar als een bestuurlijk risico, ontstaat er meer focus, meer budget en meer verantwoordelijkheid.

De NIS2-richtlijn laat er geen twijfel over bestaan: het bestuur draagt de eindverantwoordelijkheid voor naleving. In artikel 20 staat dat bestuursleden verantwoordelijk zijn voor het goedkeuren én het toezicht houden op maatregelen rond cyberbeveiligingsrisico’s. Daarnaast schrijft de richtlijn verplichte opleidingen voor bestuurders én medewerkers voor.

Wat daarbij opvalt: NIS2 maakt géén onderscheid tussen essentiële en belangrijke entiteiten. Of je nu een groot energiebedrijf bent of een middelgrote dienstverlener die in bijlage II valt, het bestuur moet zijn rol pakken.

Ook de Nederlandse Cyberbeveiligingswet (Cbw) is daar duidelijk over. Toezichthouders kunnen niet alleen boetes opleggen, maar zelfs ingrijpen in de bestuurskamer door bestuurders te schorsen. Daarmee is de persoonlijke verantwoordelijkheid geen theoretisch risico meer, maar een reëel instrument dat straks actief wordt ingezet.

Een ander belangrijk onderdeel van NIS2 is de verplichte training voor bestuurders. Waar cybersecuritybewustzijn tot nu toe vooral gericht was op medewerkers, denk aan phishingtests of workshops over wachtwoordgebruik, zegt NIS2 heel duidelijk: óók bestuurders moeten aantoonbaar kennis opbouwen.

Die training hoeft niet technisch te zijn, maar richt zich op de bestuurlijke rol. Bestuurders moeten:

Voor veel bestuurders betekent dit een cultuurverandering. Cybersecurity wordt een vaste competentie van de raad van bestuur of directie, net als financiën of compliance dat al jaren zijn.

De NIS2-richtlijn introduceert stevige sancties. Voor organisaties kunnen de boetes oplopen tot miljoenen euro’s of een aanzienlijk percentage van de jaaromzet. Maar de grootste verandering is dat bestuurders voortaan ook persoonlijk verantwoordelijk kunnen worden gehouden.

Wat betekent dat concreet? Stel dat een toezichthouder onderzoekt hoe een groot incident heeft kunnen gebeuren. Dan wordt onder andere gekeken naar:

Blijkt dat dit allemaal niet op orde is, dan kan de conclusie zijn dat bestuurders nalatig zijn geweest. En precies die nalatigheid kan onder NIS2 leiden tot persoonlijke aansprakelijkheid. De Cyberbeveiligingswet (Cbw) vertaalt dit naar nationale bevoegdheden. Toezichthouders krijgen onder meer de mogelijkheid om bestuurders tijdelijk te schorsen. Dat is ingrijpend en laat zien dat de wetgever dit onderwerp uiterst serieus neemt.

Laten we dit concreet maken met een aantal scenario’s.

In 2021 werd de Health Service Executive (HSE) in Ierland volledig lamgelegd door een grote ransomware-aanval (Conti). Ziekenhuizen konden wekenlang geen toegang krijgen tot patiëntendossiers, radiologie en afspraken. Operaties werden afgezegd, spoedzorg kwam in gevaar en de kosten liepen in de tientallen miljoenen (bron). In rapporten achteraf werd duidelijk dat de organisatie al eerder was gewaarschuwd voor verouderde systemen en onvoldoende governance rondom cybersecurity (bron).

Onder NIS2 zou een bestuur hier niet meer wegkomen met de verklaring “we hadden geen budget”. Toezichthouders zullen vragen: waarom is er niet geïnvesteerd, waar is dat besluit vastgelegd en welke alternatieven zijn besproken? Als er geen duidelijke antwoorden zijn, kan dit leiden tot persoonlijke aansprakelijkheid.

In de maakindustrie en logistiek zien we soortgelijke risico’s. Een recent voorbeeld is Jaguar Land Rover dat in 2025 al zijn Britse fabrieken wekenlang moest stilleggen na een cyberaanval (bron). Productie lag volledig stil, leveringen werden vertraagd en de economische schade liep hoog op.

Wanneer een bestuur in zo’n situatie bespaart op monitoring of detectie, en een aanval daardoor weken onopgemerkt blijft, kan een toezichthouder concluderen dat er onvoldoende toezicht is gehouden. Zeker als blijkt dat er geen periodieke rapportages of KPI’s zijn besproken. Ook hier geldt: niet de IT-afdeling, maar het bestuur komt in beeld.

De grote vraag is natuurlijk: hoe bereid je je als bestuur goed voor op NIS2? De sleutel ligt in een combinatie van kennis, structuur en documentatie.

Allereerst: bouw kennis op. Zonder basiskennis over cybersecurity kun je geen verantwoorde besluiten nemen. Dat betekent: trainingen volgen, vragen stellen en jezelf actief informeren over de risico’s en verantwoordelijkheden. Binnenkort lanceren wij van CertificeringsAdvies Nederland een praktische e-learning speciaal voor bestuurders. Geen technisch verhaal, maar precies de kennis die je nodig hebt om je rol goed te vervullen. Ook organiseren wij NIS2 workshops waarin bestuurlijke verantwoordelijkheid aan bod komt.

Daarnaast hoort cybersecurity structureel op de bestuursagenda. Niet alleen bij incidenten, maar als vast onderdeel van het overleg. Bespreek audits, investeringen, KPI’s en rapportages.

En misschien wel het belangrijkste: documenteer alles. Leg besluiten, afwegingen en alternatieven zorgvuldig vast. Want als er ooit een incident plaatsvindt, is dát je bewijs dat je als bestuur zorgvuldig hebt gehandeld.

De NIS2-richtlijn legt stevige verplichtingen op, maar biedt ook kansen. Bestuurders die cybersecurity serieus nemen, versterken de reputatie van hun organisatie, winnen vertrouwen bij klanten en partners en verkleinen de kans op kostbare incidenten.

Cybersecurity is daarmee niet alleen een compliance-verhaal, maar ook een strategisch voordeel. Organisaties die aantoonbaar in control zijn, staan sterker in aanbestedingen, onderhandelingen en samenwerkingen.

De komst van NIS2 betekent dat bestuurders niet langer aan de zijlijn staan. Cybersecurity is geen bijzaak meer, maar een kerntaak binnen goed bestuur. Bestuurders dragen verantwoordelijkheid, moeten zich laten trainen, actief sturen en hun keuzes vastleggen. En ja, bij nalatigheid kunnen zij persoonlijk aansprakelijk worden gesteld.

Dat klinkt misschien zwaar, maar het biedt vooral een kans: een kans om organisaties veiliger, wendbaarder en sterker te maken. Het vraagt om een nieuwe houding: van afwachten naar sturen, van negeren naar investeren, van vrijblijvend naar verplicht.

Wil je als bestuur voorbereid zijn? Binnenkort kun je via onze NIS2 e-learning voor bestuurders in korte tijd de kennis opdoen die je nodig hebt. Praktisch, begrijpelijk en gericht op jouw rol. Want één ding is zeker: wegkijken kan straks niet meer.