Senior professional in pak bestudeert een organisatiediagram op bureau, met laptop met beveiligingsdashboard op achtergrond.

Wie is verantwoordelijk voor NIS2-compliance binnen een organisatie?

/in /door

De eindverantwoordelijkheid voor NIS2-compliance ligt bij het bestuur van een organisatie, niet bij de IT-afdeling. Dat is een van de meest ingrijpende verschuivingen die de Europese NIS2-richtlijn teweegbrengt: cybersecurity is geen technisch vraagstuk meer, maar een bestuurlijke verplichting. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-verantwoordelijkheid, van de rol van de directeur tot de praktische stappen richting naleving.

Wie draagt de eindverantwoordelijkheid voor NIS2 binnen een organisatie?

De eindverantwoordelijkheid voor NIS2-compliance ligt bij de bestuurders van een organisatie. De Europese NIS2-richtlijn, en de Nederlandse vertaling ervan in de Cyberbeveiligingswet, stellen expliciet dat bestuursleden persoonlijk aansprakelijk zijn voor de naleving van de cybersecurityverplichtingen. Dit geldt niet alleen voor de directeur-bestuurder, maar voor het volledige bestuur als collectief orgaan.

Dit is een bewuste keuze van de wetgever. Door cybersecurity op bestuursniveau te verankeren, wordt voorkomen dat het onderwerp blijft hangen bij de IT-afdeling zonder dat er budget, prioriteit of organisatorische aandacht voor vrijkomt. De redenering is helder: wie beslissingen neemt over strategie, continuïteit en reputatie, moet ook verantwoording kunnen afleggen over de digitale weerbaarheid van de organisatie.

Concreet betekent dit dat bestuurders aantoonbaar moeten beschikken over actuele kennis en vaardigheden op het gebied van cyberbeveiliging. Niet als bijzaak, maar als onderdeel van hun bestuurdersrol. Wie dat niet kan aantonen, voldoet niet aan de wet, ongeacht hoe goed de IT-afdeling functioneert.

Wat zijn de concrete NIS2-verplichtingen voor bestuurders?

Bestuurders van organisaties die onder de NIS2-wetgeving vallen, hebben vier concrete verplichtingen: het goedkeuren van en toezicht houden op maatregelen voor risicobeheer, het borgen van tijdige incidentmelding, het bewaken van ketenbeveiliging en het aantoonbaar volgen van training op het gebied van cybersecurity. Persoonlijke aansprakelijkheid bij niet-naleving maakt dit tot een harde verplichting.

In de praktijk vertaalt dit zich naar een aantal specifieke taken:

  • Het laten uitvoeren van risicoanalyses en het goedkeuren van de bijbehorende maatregelen
  • Het opstellen of laten opstellen van een incident response plan
  • Het tijdig melden van beveiligingsincidenten bij de bevoegde autoriteiten
  • Het bewaken van de beveiliging in de keten, inclusief leveranciers en ICT-partners
  • Het aantoonbaar bijhouden van kennis over cyberrisico’s en cyberwetgeving

Dat laatste punt is bijzonder relevant: de Cyberbeveiligingswet vereist dat bestuurders binnen twee jaar na inwerkingtreding beschikken over de juiste kennis en vaardigheden, en dat zij deze kennis periodiek actualiseren. Deelname aan training moet aantoonbaar zijn, bijvoorbeeld via een certificaat of deelnemersregistratie.

Hoe verschilt de rol van de IT-manager van die van de directeur bij NIS2?

De IT-manager is verantwoordelijk voor de technische uitvoering van NIS2-maatregelen, terwijl de directeur de eindverantwoordelijkheid draagt voor de naleving als geheel. De directeur keurt maatregelen goed, stelt prioriteiten en legt verantwoording af. De IT-manager implementeert, bewaakt en rapporteert. Beide rollen zijn onmisbaar, maar de hiërarchie is duidelijk.

In de praktijk betekent dit dat een IT-manager een risicoanalyse kan uitvoeren en technische beveiligingsmaatregelen kan voorstellen, maar dat de directeur deze moet goedkeuren en de middelen moet vrijmaken om ze te realiseren. Wanneer een incident optreedt, is het de directeur die melding doet bij de toezichthouder, niet de IT-manager.

Dit onderscheid is ook relevant voor de manier waarop beide rollen met NIS2-compliance omgaan. De IT-manager heeft behoefte aan technische richtlijnen, tooling en processen. De directeur heeft behoefte aan inzicht in risico’s, juridische kaders en bestuurlijke besluitvorming. Een goede samenwerking tussen beide rollen is de basis voor effectieve cybersecurity compliance binnen de organisatie.

Moet elke organisatie voldoen aan de NIS2-richtlijn?

Niet elke organisatie valt direct onder de NIS2-wetgeving, maar de reikwijdte is aanzienlijk breder dan veel organisaties verwachten. De richtlijn onderscheidt twee categorieën: essentiële entiteiten en belangrijke entiteiten. Denk aan sectoren zoals zorg, energie, logistiek, ICT-dienstverlening, financiële dienstverlening en overheid. Middelgrote organisaties met meer dan 50 medewerkers of een jaaromzet boven tien miljoen euro vallen in veel van deze sectoren al in scope.

Daarnaast zijn er organisaties die niet formeel onder NIS2 vallen, maar er toch mee te maken krijgen. Als je diensten levert aan een organisatie die wel onder de wet valt, kunnen zij eisen stellen aan jouw cybersecurity als onderdeel van hun ketenbeveiliging. In de praktijk betekent dit dat ook leveranciers, ICT-partners en dienstverleners aan NIS2-eisen moeten voldoen, ook al zijn ze zelf geen essentiële of belangrijke entiteit.

De vraag is dus niet alleen of je formeel in scope valt, maar ook of je onderdeel bent van een keten waarbij NIS2-compliance een voorwaarde is voor samenwerking.

Wat gebeurt er als een organisatie niet voldoet aan NIS2?

Organisaties die niet voldoen aan de NIS2-wetgeving riskeren aanzienlijke boetes, toezichtmaatregelen en in het uiterste geval een tijdelijk bestuursverbod voor individuele bestuurders. Voor essentiële entiteiten kunnen boetes oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet. Voor belangrijke entiteiten gelden lagere maxima, maar de gevolgen blijven ingrijpend.

Naast financiële sancties zijn er ook reputatierisico’s. Toezichthouders kunnen besluiten om overtredingen openbaar te maken, wat directe gevolgen heeft voor het vertrouwen van klanten, partners en aandeelhouders. Voor organisaties die afhankelijk zijn van publieke aanbestedingen of samenwerking met overheden, kan niet-naleving bovendien leiden tot uitsluiting van opdrachten.

Het meest ingrijpende gevolg is de persoonlijke aansprakelijkheid van bestuurders. Wanneer een organisatie aantoonbaar tekortschiet in haar cybersecurityverplichtingen, kunnen individuele bestuurders aansprakelijk worden gesteld. Dat maakt NIS2-compliance niet alleen een organisatorische, maar ook een persoonlijke verantwoordelijkheid.

Hoe begin je met het inrichten van NIS2-compliance in de praktijk?

De eerste stap naar NIS2-compliance is een nulmeting: breng in kaart waar je organisatie nu staat op het gebied van cybersecurity, welke risico’s er zijn en welke maatregelen al zijn getroffen. Vanuit dat beeld kun je prioriteiten stellen, een plan van aanpak opstellen en de verantwoordelijkheden intern beleggen. Begin klein, maar begin nu.

Een praktische aanpak ziet er als volgt uit:

  1. Bepaal of je in scope valt: controleer of je organisatie onder de NIS2-wetgeving valt als essentiële of belangrijke entiteit, of dat je via de keten verplichtingen hebt.
  2. Voer een risicoanalyse uit: identificeer de grootste digitale risico’s voor je organisatie en prioriteer op basis van impact en waarschijnlijkheid.
  3. Stel een incident response plan op: zorg dat duidelijk is wie wat doet bij een beveiligingsincident en hoe meldplichten worden nagekomen.
  4. Train je bestuur: zorg dat bestuurders aantoonbaar beschikken over de vereiste kennis op het gebied van cyberrisico’s en wetgeving.
  5. Beleg verantwoordelijkheden: maak intern duidelijk wie verantwoordelijk is voor welk onderdeel van de NIS2-naleving.
  6. Monitor en evalueer continu: NIS2-compliance is geen project met een einddatum, maar een doorlopend proces.

Het is ook verstandig om je ICT-omgeving te beoordelen op de mate waarin deze bijdraagt aan je cybersecurity. Een goed ingericht ICT-beheer en ondersteuning vormt de technische basis waarop je NIS2-maatregelen kunnen worden gebouwd.

Hoe Puur ICT helpt met NIS2-compliance

Wij begrijpen dat NIS2-compliance voor veel organisaties een complexe en tijdrovende opgave is, zeker wanneer er geen dedicated CISO aanwezig is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener ondersteunen wij organisaties stap voor stap bij het inrichten van NIS2-compliance. Wat wij concreet bieden:

  • Nulmeting (Digicheck): we brengen de huidige beveiligingssituatie van je organisatie in kaart en identificeren waar de grootste risico’s liggen.
  • Bestuurderstraining: een tweedaagse training waarmee bestuurders aantoonbaar voldoen aan de opleidingsplicht uit de Cyberbeveiligingswet, inclusief risicomanagement, incidentrespons en bestuurdersaansprakelijkheid.
  • Technische en organisatorische maatregelen: we adviseren en implementeren de juiste beveiligingsmaatregelen binnen het Microsoft-ecosysteem, afgestemd op jouw organisatie.
  • Doorlopend beheer en monitoring: we bewaken de naleving continu en rapporteren helder, zodat je als bestuurder altijd grip houdt op de situatie.
  • Ketenbeveiliging: we helpen je ook in kaart te brengen welke eisen jouw leveranciers en partners stellen, en omgekeerd.

Wil je weten of jouw organisatie in scope valt en wat de eerste stappen zijn? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We spreken graag met je in begrijpelijke taal, zonder jargon, en met een concreet plan als resultaat.

Gerelateerde artikelen

Misschien ook iets voor u
Zware stalen kluisdeur op een kier in een moderne serverruimte met blauw omgevingslicht en een tweede versterkte deur op de achtergrond.Wat is de Cyberbeveiligingswet en hoe verschilt die van NIS2?
Stapel compliance-documenten naast laptop met beveiligingsdashboard, calculator en euromunten op modern bureau.Wat kost NIS2-compliance gemiddeld voor een middelgrote organisatie?
Open compliance-dossier met auditchecklist op modern bureau, laptop op achtergrond met beveiligingsdashboard, kantooromgeving met natuurlijk licht.Hoe maak je NIS2-compliance aantoonbaar richting toezichthouders?
Onbeheerde laptop met gevoelige documenten op scherm in modern kantoor, koffiekopje op bureau, natuurlijk raamlicht.Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
Opgeruimd modern bureau met open laptop, kleurgecodeerde mappen, sticky notes en koffiekop in zacht natuurlijk licht.Hoe richt je een digitale werkomgeving in zodat kennis makkelijk overdraagbaar is?
Rij verbonden kantoorgebouwen in staal- en grijstinten met beveiligingsslot op voordeur, symboliseert toeleveringsketenbeheer en regelgeving.Geldt NIS2 ook voor organisaties die niet direct in scope vallen?
Metalen kompas naast een leeg checklist-formulier op wit bureau, zacht ochtendlicht, kantoromgeving op de achtergrond.Waar begin je als je organisatie nog niets heeft geregeld voor NIS2?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden