Met de invoering van NIS2 , de herziene Europese richtlijn voor netwerk- en informatiebeveiliging, verandert er veel voor bedrijven die essentiële en belangrijke diensten leveren. Niet alleen de technische afdelingen, maar ook het bestuur en de directie krijgen een duidelijke verantwoordelijkheid in het kader van cyberbeveiliging. Zo dienen bestuurders zich actief bezig te houden met het risicobeheer van digitale systemen, compliance en het naleven van de meldplicht. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld bij cyberincidenten.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network Information Security 2-richtlijn) heeft als doel het verhogen van het algemene beveiligingsniveau van netwerk- en informatiesystemen in de EU en het versterken van de samenwerking tussen lidstaten.

Deze richtlijn is op 17 oktober vorig jaar van kracht gegaan. Nederland heeft de deadline om de Europese richtlijn te implementeren naar nationale wetgeving niet gehaald. De Cyberbeveiligingswet (de Nederlandse implementatiewet van de NIS2) wordt zoals het er nu naar uitziet halverwege 2026 van kracht. Zolang de nationale wet nog niet in werking is getreden, hoeven bedrijven die onder NIS2 vallen nog niet aan de verplichtingen te voldoen. Wel mogen bedrijven al gebruik maken van de rechten die NIS2 verleent.

Belangrijke aspecten van NIS2 zijn onder meer:

  • Uitgebreide meldplicht van incidenten.

  • Strengere eisen voor risicobeheer.

  • Verplichting tot het implementeren van beveiligingsmaatregelen en governance-structuren.

  • Uitgebreide aansprakelijkheid van bestuurders bij non-compliance.

In deze blog gaan wij dieper in op dit laatste aspect, de verplichtingen en aansprakelijkheid met betrekking tot het bestuur.

Bestuurlijke verantwoordelijkheid onder NIS2

Bestuurders zijn verantwoordelijk voor de implementatie van noodzakelijke maatregelen en voor de cyberveiligheid van hun onderneming. Europa wil met NIS2 dat het bestuur een actieve bijdrage levert. Bestuurders zijn op grond van NIS2 direct verantwoordelijk voor het nemen van maatregelen die noodzakelijk zijn om cyberrisico’s te beheersen. Dit gaat verder dan alleen toezicht houden. Het omvat actieve betrokkenheid bij:

  • Governance en beleid:
    Het vaststellen van duidelijke cyberbeveiligingsstrategieën en beleid op bestuursniveau.

  • Risicobeheer:
    Regelmatig beoordelen van de risico’s van cyberincidenten en passende mitigatiemaatregelen doorvoeren.

  • Compliance monitoring:
    Zekerstellen dat de organisatie voldoet aan NIS2-vereisten, inclusief technische en organisatorische maatregelen.

  • Incidentrespons:
    Waarborgen dat processen voor detectie, melding en herstel van cyberincidenten bestaan en effectief zijn.

Daarnaast vereist NIS2 dat bestuurders:

  • adequate kennis en training krijgen om beveiligingsrisico’s te begrijpen;

  • ervoor zorgen dat de organisatie hetzelfde doet voor relevant personeel.

Bestuurders zullen een inhoudelijke basis moeten hebben van cybersecurity om risico’s goed te kunnen duiden en om het gesprek aan te gaan met de medewerkers die hierover gaan.

Persoonlijke aansprakelijkheid

Een belangrijk punt van NIS2 is dat bestuursleden persoonlijk aansprakelijk kunnen zijn als de zorgplicht die op hen rust rondom cyberbeveiliging wordt geschonden. Daarnaast is er ook een potentiële strafrechtelijke bestuurdersaansprakelijkheid voor personen op directieniveau als zij hun verplichtingen op grond van de richtlijn niet nakomen.

De aansprakelijkheid van een bestuurder onder de NIS2-richtlijn komt niet zozeer voort uit acties, maar juist uit het nalaten van de acties die de richtlijn vereist. Een bestuurder kan bijvoorbeeld aansprakelijk worden gesteld voor de eventuele schade die voortvloeit uit een incident dat ontstaat door het nalaten van noodzakelijke beveiligingsmaatregelen te implementeren.

Boetes

Ook kan niet naleving leiden tot bestuurlijke boetes. Bij deze boetes wordt gekeken of bedrijven een essentiële entiteit of een belangrijke entiteit zijn. Voor essentiële entiteiten zijn deze gebaseerd op een minimum van tien miljoen euro of twee procent van de totale omzet, afhankelijk van welk bedrag hoger is. Boetes voor belangrijke entiteiten zijn gebaseerd op een minimum van zeven miljoen euro of 1,4 procent van de omzet

Conclusie

Bestuurders moeten actief betrokken zijn bij cyberbeveiliging en kunnen persoonlijk aansprakelijk worden gesteld bij tekortkomingen. Het opbouwen van een solide governance-structuur, gecombineerd met risicomanagement en regelmatige audits, is essentieel.

Bestuurders kunnen niet meer denken; “de IT-afdeling regelt het wel”. Zij zullen de zorgplicht serieus moeten nemen en cyberrisico’s integreren in het bredere strategische bestuur van de organisatie.

Wilt u meer weten over wat NIS2 voor u en uw organisatie betekent?

Het team van ervaren specialisten bij Legalz staat klaar om u te adviseren.

Neem vrijblijvend contact op bespreek uw situatie
Klik op onderstaande button of bel ons direct op telefoonnummer 010-2990646.

neem contact op