Skip to main content
Bestuurders & NIS2: waarom governance en aansprakelijkheid nú topprioriteit zijn

Bestuurders en NIS2: waarom governance en aansprakelijkheid nú topprioriteit zijn

Cybersecurity stond lang bekend als een technisch thema. Firewalls, wachtwoorden, updates; het domein van de IT-afdeling. Met NIS2 verandert dat radicaal. Bestuurders krijgen niet alleen een rol, maar ook een duidelijke verantwoordelijkheid. Wie de nieuwe regels negeert, loopt het risico op boetes en zelfs persoonlijke aansprakelijkheid. 
  


Wat zegt NIS2 over bestuurders?

De richtlijn is helder: bestuurders zijn eindverantwoordelijk voor cybersecurity en compliance.
Dat betekent: 

  • Toezicht houden – zij moeten actief monitoren of de organisatie aan de eisen voldoet.
  • Middelen beschikbaar stellen – geen mooie woorden, maar budget, personeel en aandacht.
  • Kennis opdoen – bestuurders moeten voldoende begrijpen van risico’s en maatregelen.
  • Aansprakelijkheid – bij grove nalatigheid kan de directie persoonlijk worden aangesproken. 

Het gaat dus niet om een papieren verantwoordelijkheid, maar om echte governance.

Waarom governance onmisbaar is

Cyberdreigingen raken de kern van een organisatie: continuïteit, reputatie, soms zelfs de fysieke veiligheid van mensen. Dat maakt cybersecurity een klassiek bestuursrisico, net als financiën of juridische compliance.

Zonder governance zie je vaak hetzelfde patroon:

  • IT signaleert risico’s, maar krijgt geen gehoor.
  • Besluiten worden vooruitgeschoven.
  • Incidenten leiden tot paniek en ad-hocmaatregelen.
  • NIS2 dwingt bestuurders om deze vicieuze cirkel te doorbreken. 

Wat betekent dit concreet voor bestuurders?

Strategische verantwoordelijkheid 
Cybersecurity moet een vast onderdeel worden van de bestuursagenda. Geen voetnoot in de kwartaalrapportage, maar een terugkerend agendapunt.

Risicobeoordeling 
Bestuurders moeten kunnen uitleggen hoe de organisatie risico’s identificeert, beoordeelt en beheerst. Dat vraagt om inzicht in processen en afhankelijkheden, niet alleen in technische details.

Crisisbesluitvorming 
Tijdens een incident komt het aan op snelle en goed geïnformeerde keuzes. Bestuurders moeten weten welke stappen er dan van hen verwacht worden.

De verplichte bestuurderstraining
NIS2 schrijft expliciet voor dat bestuurders training moeten volgen. Daarmee wil de EU voorkomen dat beslissers geen idee hebben van dreigingen of verplichtingen. 
Zo’n training gaat niet over firewalls of encryptieprotocollen. Het gaat over:

  • Impact van cyberdreigingen op de business.
  • Wettelijke verplichtingen en meldplichten.
  • Hoe toezicht werkt en welke sancties dreigen.
  • Rolverdeling in crisissituaties.
  • Bestuurders hoeven geen techneuten te worden, maar wel geïnformeerde beslissers.

De valkuil van “afschuiven”

Veel bestuurders denken nog: “We hebben een CISO, dus het komt goed.” Dat is precies de houding die NIS2 wil doorbreken. De CISO kan adviseren en uitvoeren, maar de eindverantwoordelijkheid blijft bij de directie. 
Die verantwoordelijkheid geldt ook richting toezichthouders. Als blijkt dat maatregelen structureel ontbreken, kan de bestuurder zich niet verschuilen achter de IT-afdeling.

Hoe maak je governance werkbaar?

  • Stel duidelijke rapportagelijnen in – wie rapporteert wat, en hoe vaak? Zorg dat bestuurders structureel inzicht krijgen.
  • Koppel cybersecurity aan bedrijfsdoelen – laat zien hoe investeringen bijdragen aan continuïteit en reputatie.
  • Maak gebruik van KPI’s – bijvoorbeeld aantal gesimuleerde phishingpogingen dat succesvol was, of tijd tot detectie van een incident.
  • Voer periodieke evaluaties uit – laat externe audits of gap-analyses zien waar de organisatie staat. 

Kritische kanttekening

Veel bestuurders zien cybersecurity nog steeds als kostenpost. Een lastige randvoorwaarde in plaats van een strategische factor. Dat is gevaarlijk. De schade van één ernstig incident overstijgt vaak jarenlang bezuinigen op security. 
Daar komt bij dat toezichthouders straks geen excuus accepteren. “We wisten het niet” of “we hadden geen budget” gaat simpelweg niet meer op.

Praktische tips voor bestuurders

  • Stel vragen: hoe vaak oefenen we een incident? Hoe zeker zijn we dat leveranciers beveiligd zijn?
  • Lees de meldplicht: weet welke deadlines gelden bij incidenten.
  • Maak tijd vrij: besteed structureel aandacht aan cybersecurity, niet alleen na een incident.
  • Zorg voor training: laat zien dat je je rol serieus neemt. 

NIS2 verandert de rol van bestuurders fundamenteel. Cybersecurity is geen detail meer, maar een kernonderdeel van governance. De vraag die bestuurders zich nu moeten stellen is simpel: wil ik wachten tot de toezichthouder aanklopt, of neem ik vandaag de regie?

Meedoen aan een NIS2 Boardroomtraining?

OptiSec biedt op drie manieren kansen aan, aan bestuurders om kennis te nemen van hun rol en verantwoordelijkheden. Geen droge, theoretische training, maar praktisch ingericht, waarmee de bestuurder niet alleen voldoet aan de eisen vanuit de NIS2, maar kansen krijgt aangeboden om winst te behalen op de werkvloer. 

Kies voor een e-learning, klassikale training of een incompanytraining.
Meer weten? Bekijk onze NIS2 Boardroomtraining via de button.

NIS2 Boardroomtraining