De rol van bestuurders onder NIS2

De NIS2-richtlijn biedt een reeks regels om een hoger niveau van cybersecurity te bereiken voor netwerk- en informatiesystemen in bedrijven en organisaties. De richtlijn beoogt dat EU-landen zichzelf beter beschermen tegen cyberdreigingen die diverse economische en reputatiegevolgen kunnen hebben voor publieke organisaties.

Tegenwoordig vereist de norm dat lidstaten ervoor zorgen dat beheersorganen de maatregelen voor cybersecurity-risicobeheer goedkeuren, toezien op de adequate implementatie ervan en actief deelnemen aan gespecialiseerde cybersecurity-trainingen. Bovendien kunnen bestuurders nu persoonlijk aansprakelijk worden gesteld voor inbreuken. De ontwikkeling van een passend minimumniveau van bekwaamheid in cybersecurity door de beheersorganen zal daarom in de toekomst onvermijdelijk zijn.

De richtlijn benadrukt dat cybersecurity niet langer wordt beschouwd en behandeld als een puur IT-vraagstuk, maar als een cruciale ruggengraat van de bedrijfsvoering (corporate governance). Het volgende overzicht specificeert de belangrijkste vereisten en risico's voor het hoger management onder NIS2:

1. Definitie van het ‘Beheersorgaan’

NIS2 is opzettelijk breed over wie als een ‘beheersorgaan’ moet worden beschouwd. Hoewel het geen pasklare definitie biedt, verwijst deze term over het algemeen naar de wettelijk vertegenwoordigers van een organisatie zoals de raad van bestuur en/of het uitvoerend management. Het beheersorgaan moet de senioriteit en de autoriteit hebben om over cybersecurity-maatregelen te beslissen, deze goed te keuren en toezicht te houden op de implementatie ervan.

2. Taken en verantwoordelijkheden (Artikel 20)

Beheersorganen van publieke entiteiten krijgen te maken met drie primaire wettelijke mandaten:

• Goedkeuring van maatregelen
  Zij moeten formeel de cybersecurity-risicobeheersmaatregelen goedkeuren (bijv. incidentafhandeling, beveiliging van de toeleveringsketen, cryptografie) die door de entiteit zijn genomen.
• Toezicht
  Zij zijn verantwoordelijk voor het toezicht op de implementatie en de voortdurende effectiviteit van deze maatregelen.
• Verplichte training
  Belangrijke figuren binnen het beheersorgaan zijn verplicht om adequate cybersecurity-trainingen te volgen om voldoende kennis en overzicht te verwerven om risico's te identificeren en de impact van beveiligingspraktijken op de diensten van de entiteit te beoordelen.

Onder Artikel 34(7) van de Richtlijn hebben lidstaten de discretie om te beslissen of en in welke mate administratieve boetes van toepassing zijn op overheidsinstanties. Hoewel de NIS2-wet naar verwachting in het tweede kwartaal van 2026 in werking zal treden, was er op 23 maart 2026 in de Tweede Kamer al wel een wetgevingsoverleg over de Cyberbeveiligingswet en daarbij horende thema’s als toepassingsbereik, de zorgplicht, de meldplicht, de uitvoering, het toezicht en de overlap tussen beide voorgestelde wetten. Hiermee heeft de Nederlandse overheid al een primair kader aangewezen dat gemeenten moeten gebruiken om aan hun wettelijke zorgplicht te voldoen.

Deze ‘Wettelijke zorgplicht’ slaat terug op Artikel 24 van de Cyberbeveiligingswet; deze verplicht gemeenten om bestuurders aantoonbaar op te leiden op het gebied van digitale risico's. De formele eindverantwoordelijkheid ligt bij het college, niet bij de CISO.

De 10 essentiële veiligheidspijlers van de wettelijke zorgplicht

Het Nationaal Cyber Security Centrum (NCSC) en het Cybersecurity Besluit groeperen de zorgplicht in tien verplichte gebieden:

• Risicoanalyse & Informatiebeveiligingsbeleid
  Formaliseren hoe risico's worden geïdentificeerd en afgehandeld.
• Incidentafhandeling
  Het hebben van een duidelijk plan voor wanneer (niet als) een inbreuk plaatsvindt.
• Bedrijfscontinuïteit
• Zorgen dat diensten (zoals het uitgeven van paspoorten of sociale steun) online blijven via back-ups en crisisbeheer.
• Beveiliging van de toeleveringsketen
  Het auditen van de beveiliging van externe IT-leveranciers en cloudproviders.
• Netwerk- en systeembeveiliging
  Veilige ontwikkeling en onderhoud van software.
• Evaluatie van effectiviteit
  Regelmatig testen of beveiligingsmaatregelen daadwerkelijk werken (bijv. pentesten).
• Cyberhygiëne & Training
  Verplichte training voor al het personeel en gespecialiseerde training voor leidinggevenden.
• Cryptografie
  Juist gebruik van encryptie voor gevoelige (inwoner)gegevens.
• Personeelsbeveiliging
  Toegangscontrole beleid en screeningprocedures.
• MultiFactor Authenticatie (MFA)
  Gebruik van MFA of gelijkwaardige hoogwaardige authenticatie voor alle kritieke systemen.

3. Bestuurlijke verantwoordelijkheid (Het ‘Bestuursniveau’)

De wet verschuift de verantwoordelijkheid van de IT-afdeling naar het bestuur.

• Goedkeuring
  Het College van Burgemeester en Wethouders (College van B&W) moet formeel de cybersecurity-risico beheersmaatregelen goedkeuren.
• Kennisvereiste
  Bestuurders zijn wettelijk verplicht om cybersecuritytrainingen te volgen. Zij moeten hun kennis kunnen aantonen, vaak via een certificaat van deelname.
• Toezicht
  Het bestuur is verantwoordelijk voor het toezicht op de implementatie; zij kunnen niet langer beweren dat het een ‘technische kwestie"’ is als er een groot incident plaatsvindt door nalatigheid.

4. Rapportagetermijnen

Onder de zorgplicht moeten gemeenten zich ook houden aan een strikt rapportageproces in drie stappen, voor ‘significante’ incidenten. Binnen:

• 24 uur
  Een vroege waarschuwing aan de RDI (Rijksinspectie Digitale Infrastructuur) en de IBD (Informatiebeveiligingsdienst voor gemeenten, het gemeentelijke CSIRT).
• 72 uur
  Een gedetailleerde incidentmelding.
• 1 maand
  Een eindrapport inclusief een analyse van de hoofdoorzaak en geleerde lessen.

5. Strategische implicaties

Deze regels veranderen de risico-bereidheid van besturen. Omdat het management het juridische risico van een cyberincident niet langer kan delegeren, moeten organisaties:

• Governance-structuren herzien
  Duidelijk definiëren welke interne commissie of welk orgaan dient als het beheersorgaan voor NIS2-doeleinden.
• Trainingen plannen
  Cybersecurity-educatie voor leidinggevenden en bestuurders behandelen als een vereiste voor het naleven van de wet, in plaats van een optionele professionele ontwikkelingstaak.

De inzet: persoonlijke aansprakelijkheid

Cybersecurity is een gezamenlijke reis. Door op elk niveau een minimumniveau van bekwaamheid voor beveiliging te ontwikkelen, beschermen we niet alleen onze gegevens, maar ook de integriteit van de diensten die we aan onze gemeenschap leveren.