NIS2 bestuurlijke aansprakelijkheid: cybersecurity is nu ook jouw verantwoordelijkheid

Cybersecurity was jarenlang iets voor IT. Zolang de systemen draaiden, de e-mails werkte en niemand mopperde over de wifi, leek alles prima onder controle. Cybersecurity was technisch. Iets voor specialisten. Iets met firewalls en mensen die wél begrijpen wat er in die logbestanden staat. Die tijd is voorbij. Niet alleen omdat techniek ingewikkelder wordt. Niet omdat cybercriminelen slimmer worden. En ook niet omdat ransomware inmiddels vaker in het nieuws is dan een gemiddelde BN'ers. Waarom wel? Lees snel verder. 

Leestijd

5 minuten

Diensten / categorie
Publicatiedatum

13 juli 2026

De echte duw komt vanuit de wet. Met de komst van de Cyberbeveiligingswet (Cbw) schuift cyberweerbaarheid op. Weg uit de serverruimte. Recht de bestuurskamer in. Bestuurders krijgen een duidelijke rol in het beheersen van cyberrisico's, het goedkeuren van maatregelen en het bewaken van de uitvoering. Kortom: meekijken is niet genoeg. Je moet ook kunnen meepraten. 

De belangrijkste inzichten

  • De Cyberbeveiligingswet maakt bestuurders medeverantwoordelijk voor cyberrisico's. 
  • NIS2 bestuurlijke aansprakelijkheid betekent dat cyberveiligheid een bestuursvraagstuk is, geen IT-vraagstuk. 
  • Ook wanneer IT is uitbesteed, blijft het bestuur verantwoordelijk.
  • Leveranciers en ketenpartners vormen een steeds groter cyberrisico.
  • Bestuurders moeten risico's begrijpen, prioriteren en aantoonbaar beheersen. 
  • Organisaties die nu investeren in governance zijn beter voorbereid op incidenten én wetgeving. 

Cyberrisico is gewoon een bedrijfsrisico geworden

Als bestuurder stuur je elke dag op risico's. Financiën. Medewerkers. Veiligheid. Kwaliteit. Continuïteit. 

Cyberveiligheid hoort inmiddels in hetzelfde rijtje thuis. 

Een cyberaanval kan vandaag de dag leiden tot:

  • stilgevallen bedrijfsprocessen;
  • onbereikbare systemen;
  • verlies van klant- of bedrijfsgegevens;
  • productieverlies;
  • reputatieschade;
  • financiele schade.

Voor veel organisaties zijn digitale systemen inmiddels net zo onmisbaar als stroom, water en goede koffie. 

De vraag is daarom niet meer: ''Hebben we onze IT goed geregeld?''

Maar:

''Weten we welke digitale risico's onze organisatie loopt?''

    Wat betekent NIS2 bestuurlijke aansprakelijkheid?

    NIS2 bestuurlijke aansprakelijkheid betekent dat bestuurders actief betrokken moeten zijn bij het beheerser van cyberrisico's. Jij blijft eindverantwoordelijk, ook wanneer de uitvoering volledig bij een IT-partner of CISO ligt. 

    Vertrouwen op experts is verstandig. 

    Blind vertrouwen niet. 

    De wet verwacht dat bestuurders inzicht hebben in de grootste cyberrisico's, passende maatregelen goedkeuren en toezicht houden op de uitvoering. Cybersecurity wordt daarmee onderdeel van goed bestuur, net zoals financiën, kwaliteit en veiligheid. 

    Je hoeft geen firewall te configureren. Je moet wél kunnen uitleggen:

    • welke cyberrisico's de organisatie loopt
    • welke maatregelen zijn genomen
    • welke restrisico's bewust zijn geaccepteerd
    • welke besluiten het bestuur heeft genomen
    • hoe de organisatie zich voorbereid op een incident

    NIS2 persoonlijke aansprakelijkheid: wat betekent dat voor bestuurders?

    Veel bestuurders vragen zich af wat NIS2 persoonlijke aansprakelijkheid in de praktijk betekent. 

    De wet schrijft niet voor dat bestuurders persoonlijk verantwoordelijk zijn voor ieder cyberincident. Wel wordt verwacht dat zij aantoonbar hun verantwoordelijkheid nemen. Dat betekent dat cyberrisico's regelmatig worden besproken, besluiten worden vastgelegd en toezicht onderdeel is van de governance. 

    Wanneer een organisatie geen aandacht besteedt aan cyberrisico's, geen passende maatregelen neemt of structureel tekortschiet in haar verantwoordelijkheid, kan dat gevolgen hebben voor de organisatie én voor het bestuur. 

    Kun jij maandagochtend direct schakelen?

    Stel je voor. Maandagochtend. 07:15. 

    Een medewerker meldt dat systemen platliggen. Bestanden zijn versleuteld. Op meerdere schermen staat een losgeldmelding. Gezellig begin van de week. 

    De operatie staat stil. Klanten bellen. Leveranciers wachten. En de media? Die ruiken nieuws. 

    • Wie neemt de leiding?
    • Welke bedrijfsprocessen zijn kritiek?
    • Hoe lang kunnen we zonder onze systemen?
    • Welke klanten worden geraakt?
    • Is het herstelplan getest?
    • Moeten we een melding doen?

    Voor veel organisaties is het eerlijke antwoord nog steeds: ''Nee''. 

    En precies daar begint het risico. 

    Je zwakste leverancier kan jouw grootste cyberrisico zijn

    Cyberaanvallen komen steeds vaker via leveranciers binnen.

    • Via software.
    • Via een cloudplatform.
    • Via een IT-partner.
    • Via een externe dienstverlener.

    Daarom kijkt de Cyberbeveiligingswet verder dan alleen je eigen organisatie. Ook de beveiliging van leveranciers en ketenpartners speelt een belangrijke rol.

    Dat maakt ketenverantwoordelijkheid een vast onderdeel van goed cyberrisicomanagement.

    Vraag jezelf daarom af:

    Welke leverancier vormt vandaag het grootste cyberrisico voor onze organisatie?

    Goed bestuur begint met de juiste vragen

    Cybersecurity is niet langer een technisch dossier. Het is een bestuursverantwoordelijkheid.

    Bestuurders hoeven geen cybersecurityspecialisten te worden, maar moeten wel aantoonbaar laten zien dat cyberrisico's serieus worden genomen.

    Dat begint met vijf eenvoudige vragen:

    1. Kennen we onze grootste cyberrisico's?
    2. Hebben we passende maatregelen genomen?
    3. Worden we periodiek geïnformeerd?
    4. Houden we actief toezicht?
    5. Is cyberveiligheid onderdeel van onze governance?

    Kun je deze vragen vandaag met overtuiging beantwoorden?

    Dan staat je organisatie sterker.

    Twijfel je?

    Dan is dit het moment om in beweging te komen.

    Krijg inzicht in de volwassenheid van je organisatie met de NIS2 bestuurders checklist

    Deze blog laat zien waarom NIS2 bestuurlijke aansprakelijkheid en NIS2 persoonlijke aansprakelijkheid niet alleen juridische begrippen zijn, maar vooral onderwerpen voor de bestuurskamer. 

    De volgende stap is inzicht krijgen in de volwassenheid van jouw organisatie. 

    In de NIS2 bestuurders checklist ontdek je:

    • welke vragen iedere bestuurder moet kunnen beantwoorden;
    • hoe cyberweerbaarheid eruitziet vanuit de bestuurskamer;
    • waar de grootste cyberrisico's en blinde vlekken zitten;
    • welke eerste stappen direct impact maken

    Klik hier voor de NIS2-checklist voor bestuurders