NIS2 en persoonlijke bestuurdersaansprakelijkheid: wat elke bestuurder moet weten

De meeste cybersecurityregelgeving richt zich op de organisatie. NIS2 gaat een stap verder: het richt zich op jou persoonlijk als bestuurder.

Artikel 20 van de NIS2-richtlijn legt de verantwoordelijkheid voor cybersecurity expliciet bij het bestuursorgaan. Dit betekent dat als jouw organisatie onvoldoende cybersecuritymaatregelen implementeert, jij — als individuele bestuurder — persoonlijk verantwoordelijk kunt worden gehouden.

Dit artikel legt uit wat NIS2 van bestuurders verlangt, hoe de gevolgen van non-compliance eruitzien, en wat je nu moet doen.

Wat zegt Artikel 20 precies?

Artikel 20 stelt vier specifieke verplichtingen voor bestuursorganen vast:

Is NIS2 van toepassing op uw organisatie?
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼
Nee▼
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼
Nee▼
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1
Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →
2
Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →
3
Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →
✗
NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓
NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!
NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassing
Mogelijk van toepassing
Niet van toepassing

Laten we deze uitwerken:

1. Risicobeheermaatregelen goedkeuren

Het bestuur moet de cybersecurity-risicobeheermaatregelen uit Artikel 21 formeel goedkeuren. Dit betekent het aftekenen van beveiligingsbeleid, risicobeoordelingen, incidentresponsplannen en de toewijzing van middelen om deze te implementeren.

Dit is geen eenmalige actie. Naarmate dreigingen evolueren en de organisatie verandert, moet het bestuur deze maatregelen regelmatig herzien en opnieuw goedkeuren.

2. Toezicht houden op implementatie

Goedkeuring alleen is niet genoeg. Het bestuur moet actief toezicht houden op de daadwerkelijke implementatie van de goedgekeurde maatregelen. Dit betekent regelmatige rapportages van de CISO of het IT-beveiligingsteam, het beoordelen van voortgang en het aanpakken van hiaten wanneer die ontstaan.

Als er een inbreuk plaatsvindt en het bestuur kan aantonen dat het actief toezicht hield op de implementatie, is hun positie aanzienlijk sterker dan wanneer ze simpelweg een document hebben getekend en het verder vergeten zijn.

3. Persoonlijk aansprakelijk zijn

Dit is de bepaling die alles verandert. Als de organisatie niet voldoet aan de cybersecurityverplichtingen onder NIS2, kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld.

De richtlijn specificeert geen exacte sancties voor individuen — dit wordt overgelaten aan de nationale implementatie. Lidstaten moeten er echter voor zorgen dat bestuursorganen verantwoordelijk gehouden kunnen worden. Verschillende landen implementeren bepalingen die het volgende omvatten:

Persoonlijke boetes voor bestuurders
Tijdelijk verbod op het uitoefenen van bestuursfuncties
Openbare bekendmaking van nalevingstekortkomingen die aan het management worden toegeschreven

4. Cybersecuritytraining volgen

Bestuurders zijn verplicht training te volgen om voldoende kennis te hebben om cybersecurityrisico's te identificeren en de toereikendheid van de getroffen maatregelen te beoordelen.

Dit betekent niet dat elke bestuurder een technisch expert moet worden. Maar ze moeten het risicolandschap van de organisatie goed genoeg begrijpen om de juiste vragen te stellen en weloverwogen beslissingen te nemen.

Waarom is dit anders dan andere regelgeving?

De meeste regelgevende kaders houden de organisatie verantwoordelijk. NIS2 houdt individuen verantwoordelijk.

Vergelijk het contrast:

	AVG/GDPR	NIS2
Wie is aansprakelijk?	De organisatie (verwerkingsverantwoordelijke/verwerker)	De organisatie én individuele bestuurders
Persoonlijke gevolgen?	Zelden — in extreme gevallen van nalatigheid	Expliciet vastgelegd in de richtlijn
Bestuurstraining vereist?	Geen specifieke eis	Ja — verplicht
Actief toezicht vereist?	Impliciet via verantwoordingsplicht	Expliciet vereist

Dit persoonlijke aansprakelijkheidsmodel is vergelijkbaar met wat bestaat in de financiële sector, waar individuele bestuurders persoonlijke sancties kunnen krijgen voor nalevingstekortkomingen. NIS2 brengt hetzelfde niveau van verantwoording naar cybersecurity.

Wat zijn de sancties?

Voor de organisatie

Essentiële entiteiten: boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet
Belangrijke entiteiten: boetes tot €7 miljoen of 1,4% van de wereldwijde jaaromzet

Voor individuele bestuurders

De nationale implementatie verschilt, maar de richtlijn vereist dat lidstaten ervoor zorgen dat bestuursorganen verantwoordelijk gehouden kunnen worden. Mogelijke gevolgen zijn:

Persoonlijke financiële sancties — los van bedrijfsboetes
Tijdelijk verbod op het uitoefenen van bestuursfuncties bij de entiteit
Reputatieschade — openbare bekendmaking van non-compliance en de rol van het management
Civielrechtelijke aansprakelijkheid — mogelijke rechtszaken van aandeelhouders of getroffen partijen

Het verweer "ik wist het niet" werkt niet

Omdat NIS2 expliciet vereist dat bestuurders training volgen en actief toezicht houden op de implementatie, is onwetendheid geen houdbaar verweer. De richtlijn is ontworpen om precies dit scenario te voorkomen.

Wat moeten bestuurders nu doen?

Directe acties

Begrijp je verplichtingen — lees dit artikel, bekijk Artikel 20 en 21 van de NIS2-richtlijn en overleg met je juridische en compliance-teams
Beoordeel je huidige situatie — weet je welke Artikel 21-maatregelen je organisatie heeft geïmplementeerd? Waar zitten de hiaten?
Volg cybersecuritytraining — dit is niet optioneel onder NIS2. Investeer in training op bestuursniveau die risicobeoordelingen, incidentrespons en governance behandelt
Formaliseer je toezicht — stel regelmatige cybersecurityrapportages aan het bestuur in. Richt een helder escalatiepad in voor beveiligingskwesties

Doorlopend bestuur

Beoordeel en keur beveiligingsbeleid goed — maak dit een vast agendapunt, geen jaarlijks vinkje
Wijs voldoende middelen toe — cybersecurity vereist investering. Als het budget ontoereikend is, deelt het bestuur de verantwoordelijkheid voor de gevolgen
Documenteer alles — NIS2 vereist aantoonbare naleving. Bewaar verslagen van bestuursbesluiten, risicobeoordelingen, gevolgde trainingen en geïmplementeerde maatregelen
Monitor ketenrisico's — Artikel 21 vereist beveiliging van je toeleveringsketen. Het bestuur moet de belangrijkste leveranciersafhankelijkheden en hun beveiligingsniveau begrijpen

De conclusie

NIS2-persoonlijke aansprakelijkheid is geen theoretisch concept — het is EU-wetgeving. De richtlijn noemt het bestuursorgaan expliciet als verantwoordelijk voor cybersecuritygovernance, vereist individuele training en verplicht lidstaten om persoonlijke verantwoording te waarborgen.

De organisaties die hier het beste mee omgaan zijn die waar het bestuur cybersecurity behandelt als een kernverantwoordelijkheid van bestuur — niet als een IT-probleem om te delegeren en te vergeten.

Start met een gratis NIS2-quickscan

Wil je weten hoe goed je organisatie voorbereid is? Onze gratis NIS2-quickscan beoordeelt je gereedheid op alle 10 Artikel 21-maatregelcategorieën in slechts enkele minuten.

Deel de resultaten met je bestuur — het is de snelste manier om een geïnformeerd gesprek te starten over wat er moet gebeuren.