Bestuurder in pak met houten hamer naast laptop met beveiligingsdashboard in moderne vergaderzaal.

Zijn bestuurders persoonlijk aansprakelijk onder de NIS2-wetgeving?

/in /door

Ja, bestuurders kunnen persoonlijk aansprakelijk worden gesteld onder de NIS2-wetgeving. De Europese richtlijn en de Nederlandse Cyberbeveiligingswet (CBW), die naar verwachting in het tweede kwartaal van 2026 in werking treedt, leggen de verantwoordelijkheid voor cybersecurity nadrukkelijk bij het bestuur neer. Dat betekent dat niet alleen de organisatie, maar ook individuele bestuurders juridische consequenties kunnen ondervinden als zij hun verplichtingen niet nakomen. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-bestuurdersaansprakelijkheid, zodat je precies weet waar je aan toe bent.

Wat houdt de persoonlijke aansprakelijkheid onder NIS2 precies in?

Persoonlijke aansprakelijkheid onder NIS2 betekent dat individuele bestuurders direct verantwoordelijk kunnen worden gehouden voor het niet naleven van de cybersecurityverplichtingen die de wet oplegt aan hun organisatie. De aansprakelijkheid stopt dus niet bij de rechtspersoon. Als bestuurder kun je persoonlijk worden aangesproken als aantoonbaar is dat jij je toezichthoudende en sturende rol op het gebied van cyberbeveiliging hebt verwaarloosd.

Dit is een fundamentele verschuiving ten opzichte van eerdere regelgeving. Waar cybersecurity vroeger primair een IT-aangelegenheid was, maakt de NIS2-wetgeving het tot een bestuurlijke kernverantwoordelijkheid. Bestuurders moeten aantoonbaar betrokken zijn bij het vaststellen van beveiligingsbeleid, het goedkeuren van maatregelen en het toezicht houden op de uitvoering daarvan. Onwetendheid is geen geldige verdediging: de wet veronderstelt actieve betrokkenheid van het bestuur.

De Nederlandse Cyberbeveiligingswet gaat daarin nog een stap verder door te vereisen dat bestuurders aantoonbaar over actuele kennis en vaardigheden op het gebied van cyberbeveiliging beschikken. Dit moet via training worden geborgd. Het gaat dus niet alleen om het tekenen van een beleidsdocument, maar om het daadwerkelijk kunnen begrijpen, wegen en sturen op cyberrisico’s.

Voor welke organisaties en sectoren geldt NIS2?

De NIS2-wetgeving geldt voor organisaties die als essentiële entiteit of belangrijke entiteit worden aangemerkt. Dit onderscheid is gebaseerd op de sector waarin een organisatie actief is en haar omvang. In de meeste gevallen vallen middelgrote en grote organisaties in aangewezen sectoren automatisch onder de wet.

Sectoren die onder de NIS2-wetgeving vallen, zijn onder andere:

  • Energie en drinkwater
  • Gezondheidszorg en medische hulpmiddelen
  • Transport en logistiek
  • Financiële dienstverlening
  • ICT-dienstverlening en managed service providers (MSP’s)
  • Digitale infrastructuur en cloudaanbieders
  • Overheid en overheidsnabije instellingen
  • Productie en maakindustrie
  • Voedsel en agri

Belangrijk om te weten: ook organisaties die niet formeel onder NIS2 vallen, kunnen er indirect mee te maken krijgen. Als jouw organisatie diensten levert aan partijen die wél in scope zijn, kunnen die partijen contractueel eisen dat jij ook aan de NIS2-normen voldoet. Beveiliging binnen Microsoft 365 speelt daarin een steeds grotere rol, omdat veel organisaties hun digitale werkprocessen via het Microsoft-platform inrichten.

Welke verplichtingen moeten bestuurders persoonlijk naleven?

Bestuurders moeten onder de NIS2-wetgeving een actieve en aantoonbare rol spelen in het cybersecuritybeleid van hun organisatie. Dit gaat verder dan het delegeren van taken aan de IT-afdeling. De wet stelt specifieke eisen aan wat bestuurders zelf moeten weten, goedkeuren en bewaken.

De belangrijkste bestuurlijke verplichtingen zijn:

  • Risicoanalyse goedkeuren en begrijpen: Bestuurders moeten in staat zijn om cyberrisico’s te beoordelen en passende maatregelen te autoriseren.
  • Beveiligingsbeleid vaststellen: Het bestuur stelt het cybersecuritybeleid van de organisatie formeel vast en draagt verantwoordelijkheid voor de uitvoering ervan.
  • Incidentmelding borgen: Beveiligingsincidenten moeten tijdig worden gemeld bij de bevoegde autoriteiten. Bestuurders zijn verantwoordelijk voor het inrichten van een werkend meldproces.
  • Ketenbeveiliging bewaken: Leveranciers en partners die toegang hebben tot systemen of data vallen ook onder de zorgplicht van het bestuur.
  • Aantoonbare kennis en training: Bestuurders moeten via training aantonen dat zij over actuele kennis van cybersecurity beschikken en zich periodiek bijscholen.

Het Cyberbeveiligingsbesluit legt expliciet vast dat bestuurders moeten kunnen meepraten op gelijkwaardig niveau met de CISO, IT-afdeling of een CSIRT (Computer Security Incident Response Team). Dat vereist meer dan oppervlakkige kennis.

Wat zijn de sancties als bestuurders hun NIS2-verplichtingen niet nakomen?

Als bestuurders hun verplichtingen onder de NIS2-wetgeving niet nakomen, kunnen zij persoonlijk worden beboet. Daarnaast kan de bevoegde toezichthouder een tijdelijk verbod opleggen aan een bestuurder om leidinggevende functies te vervullen. De sancties zijn dus niet alleen financieel, maar kunnen ook directe gevolgen hebben voor de carrière en de bestuursrol van een individu.

Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Naast deze boetes kunnen toezichthouders ook aanwijzingen geven, audits opleggen en corrigerende maatregelen afdwingen.

Het persoonlijke karakter van de aansprakelijkheid maakt dit bijzonder ingrijpend. Een bestuurder die niet kan aantonen dat hij of zij actief betrokken was bij het cybersecuritybeleid, loopt een reëel risico op persoonlijke sancties, los van wat er met de organisatie als geheel gebeurt.

Hoe kunnen bestuurders aantonen dat zij aan NIS2 voldoen?

Bestuurders tonen NIS2-compliance aan door een combinatie van documentatie, aantoonbare training en actieve betrokkenheid bij het cybersecuritybeleid van de organisatie. Het gaat om bewijsbaar gedrag, niet om intenties. Toezichthouders kijken naar wat er feitelijk is gedaan en vastgelegd.

Praktische stappen om compliance aantoonbaar te maken:

  1. Volg een erkende bestuurderstraining en bewaar het certificaat of de deelnemersregistratie als bewijs van actuele kennis.
  2. Documenteer besluitvorming rondom cybersecurity in bestuursvergaderingen, inclusief goedgekeurde risicoanalyses en beveiligingsmaatregelen.
  3. Stel een incident response plan op en zorg dat het bestuur aantoonbaar betrokken is bij de totstandkoming en periodieke evaluatie ervan.
  4. Voer een nulmeting uit om de huidige beveiligingssituatie in kaart te brengen en gebruik dit als vertrekpunt voor verbeteringen.
  5. Herhaal en actualiseer kennis periodiek, want de wet vereist niet alleen eenmalige training, maar structureel onderhoud van kennis en vaardigheden.

Aantoonbaarheid is het sleutelwoord. Zelfs een goed ingericht beveiligingsbeleid heeft weinig waarde als er geen spoor van is in bestuursnotulen, trainingsregistraties of beleidsversies met datumstempels.

Wanneer is een externe IT-partner verstandig voor NIS2-compliance?

Een externe IT-partner is verstandig zodra de interne capaciteit, kennis of structuur ontbreekt om NIS2-compliance zelfstandig in te richten en te onderhouden. Voor de meeste middelgrote organisaties is dat al snel het geval: zij hebben vaak geen fulltime CISO en moeten tegelijkertijd voldoen aan steeds complexere eisen op het gebied van risicobeheer, incidentmelding en ketenbeveiliging.

Een betrouwbare externe partner biedt meer dan technische ondersteuning. Hij helpt bij het vertalen van wetgeving naar concrete maatregelen, begeleidt het bestuur bij het verkrijgen van de vereiste kennis en zorgt voor aantoonbare documentatie. Dat is precies wat toezichthouders verwachten te zien. ICT-beheer en ondersteuning door een gecertificeerde partner geeft bestuurders de structuur en grip die nodig zijn om hun zorgplicht waar te maken.

Signalen dat een externe partner meerwaarde biedt:

  • Er is geen interne CISO of vergelijkbare functie aanwezig
  • Het bestuur mist actuele kennis om cyberrisico’s zelfstandig te beoordelen
  • Er is geen gedocumenteerd incident response plan
  • Leveranciers of klanten vragen om aantoonbare NIS2-compliance
  • De organisatie valt in een NIS2-sector maar heeft de scope nog niet bepaald

Hoe Puur ICT helpt met NIS2-compliance voor bestuurders

Wij begrijpen dat NIS2-compliance voor veel bestuurders een complexe opgave is, zeker als de organisatie geen eigen CISO heeft maar wel bestuurlijke aansprakelijkheid draagt. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij organisaties stap voor stap naar aantoonbare naleving van de Cyberbeveiligingswet. Ons aanbod is concreet en gericht op zowel technische als bestuurlijke compliance:

  • Digicheck (nulmeting): We brengen de huidige beveiligingssituatie in kaart en maken inzichtelijk waar risico’s zitten en wat er nog ontbreekt.
  • Bestuurderstraining (2 dagdelen): Een interactieve training die bestuurders aantoonbaar voorziet van de kennis en vaardigheden die de wet vereist, inclusief risicomanagement, incidentrespons en bestuurdersaansprakelijkheid.
  • E-learning en awareness: Na de training blijven bestuurders en medewerkers op de hoogte via korte online modules en periodieke herhaling van kernonderwerpen.
  • Phishingcampagnes: Leergericht testen van waakzaamheid binnen de organisatie, met resultaten als basis voor verdere verdieping.
  • Doorlopend beheer en rapportage: Wij ondersteunen bij de implementatie van technische en organisatorische maatregelen en zorgen voor de documentatie die toezichthouders verwachten.

Wil je weten of jouw organisatie onder de NIS2-wetgeving valt en wat dat concreet betekent voor jouw bestuursverantwoordelijkheid? Neem contact op met Puur ICT voor een vrijblijvend gesprek. Wij spreken in begrijpelijke taal, denken proactief mee en zorgen dat je als bestuurder aantoonbaar in control bent.

Gerelateerde artikelen

Misschien ook iets voor u
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
Gehandschoende IT-professional plaatst verzegelde envelop in serverzaal alertpaneel met knipperende amber lampjes en rackservers op de achtergrond.Wat houdt de meldplicht bij een cyberincident onder NIS2 in?
Senior professional in pak bestudeert een organisatiediagram op bureau, met laptop met beveiligingsdashboard op achtergrond.Wie is verantwoordelijk voor NIS2-compliance binnen een organisatie?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
Kantoormedewerker bij laptop met fysiek hangslot en toegangspas op toetsenbord, symboliseert digitale beveiliging op de werkvloer.Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?
Metalen kompas naast een leeg checklist-formulier op wit bureau, zacht ochtendlicht, kantoromgeving op de achtergrond.Waar begin je als je organisatie nog niets heeft geregeld voor NIS2?
Opgeruimd modern bureau met open laptop, kleurgecodeerde mappen, sticky notes en koffiekop in zacht natuurlijk licht.Hoe richt je een digitale werkomgeving in zodat kennis makkelijk overdraagbaar is?
Officieel nalevingsdocument met stalen hangslot op modern bureau, laptop met beveiligd netwerkdashboard op achtergrond.Wat zijn de belangrijkste verplichtingen onder NIS2?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden