Ruben TalmanRuben Talman

Kan een bestuurder persoonlijk aansprakelijk zijn onder NIS2?

05 juli 08:00
6 min.
Op deze pagina
Op deze pagina

Ja, een bestuurder kan persoonlijk aansprakelijk worden gesteld onder NIS2. De richtlijn legt niet alleen verplichtingen op aan organisaties als geheel, maar maakt bestuurders ook individueel verantwoordelijk voor het toezicht op en de naleving van cyberbeveiligingsmaatregelen. Dit geldt voor organisaties in kritieke en belangrijke sectoren, en de aansprakelijkheid kan oplopen tot aanzienlijke persoonlijke gevolgen. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-aansprakelijkheid voor bestuurders.

Welke verplichtingen legt NIS2 op aan bestuurders?

NIS2 verplicht bestuurders om actief betrokken te zijn bij het cyberbeveiligingsbeleid van hun organisatie. Ze moeten risicobeheersmaatregelen goedkeuren, toezicht houden op de uitvoering ervan en een cultuur van digitale veiligheid bevorderen. Bestuurders zijn dus niet alleen eindverantwoordelijk op papier, maar moeten aantoonbaar betrokken zijn bij de beveiligingsstrategie.

Concreet betekent dit dat bestuurders verplicht zijn om:

  • Een risicoanalyse te laten uitvoeren en de resultaten te beoordelen
  • Technische en organisatorische beveiligingsmaatregelen goed te keuren
  • Procedures voor incidentmelding in te richten en te bewaken
  • Ketenverantwoordelijkheid serieus te nemen, ook richting leveranciers
  • Regelmatig te controleren of het beveiligingsniveau nog voldoet

De richtlijn gaat verder dan vroegere wetgeving op dit gebied. Waar cyberveiligheid vroeger vaak werd gedelegeerd aan de IT-afdeling, maakt NIS2 duidelijk dat het een bestuurlijke aangelegenheid is. Bestuurders die zeggen “dat is een zaak voor IT” voldoen daarmee niet aan hun wettelijke verplichtingen. Meer weten over ICT-beveiliging voor het MKB is dan ook een logische eerste stap.

Wanneer kan een bestuurder persoonlijk aansprakelijk worden gesteld?

Een bestuurder kan persoonlijk aansprakelijk worden gesteld wanneer er sprake is van nalatigheid bij het naleven van de NIS2-verplichtingen. Dit is het geval als een bestuurder aantoonbaar heeft verzuimd om beveiligingsmaatregelen te treffen, toezicht te houden op de naleving of adequaat te reageren op een beveiligingsincident. Persoonlijke aansprakelijkheid is dus geen automatisme, maar volgt uit aantoonbaar tekortschieten.

De toezichthouder kan persoonlijke aansprakelijkheid inroepen bij situaties zoals:

  • Het structureel negeren van bekende beveiligingsrisico’s
  • Het niet tijdig melden van een significant incident (binnen 24 uur)
  • Het ontbreken van een goedgekeurd beveiligingsbeleid
  • Het niet opvolgen van aanwijzingen of waarschuwingen van de toezichthouder

Belangrijk om te begrijpen is dat NIS2 een onderscheid maakt tussen de organisatie als rechtspersoon en de bestuurder als individu. Beide kunnen worden aangesproken. Bij ernstige overtredingen kan een toezichthouder zelfs een tijdelijk verbod opleggen aan een bestuurder om leidinggevende functies te vervullen. Dat maakt de persoonlijke component van NIS2-aansprakelijkheid bijzonder ingrijpend.

Wat zijn de financiële gevolgen van NIS2-overtredingen voor bestuurders?

De financiële gevolgen van NIS2-overtredingen kunnen aanzienlijk zijn. Voor de organisatie gelden boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bestuurders kunnen daarnaast persoonlijk aansprakelijk worden gesteld voor geleden schade als gevolg van nalatigheid. Er zijn geen vaste bedragen voor persoonlijke boetes, maar de financiële en reputatiegevolgen kunnen groot zijn.

De sancties die toezichthouders kunnen opleggen, zijn gelaagd opgebouwd:

  1. Waarschuwingen en aanwijzingen: als eerste stap bij geconstateerde tekortkomingen
  2. Bindende instructies: verplichte maatregelen met een deadline
  3. Boetes: opgelegd aan de organisatie bij herhaalde of ernstige overtredingen
  4. Persoonlijke aansprakelijkheid: voor bestuurders bij aantoonbare nalatigheid
  5. Tijdelijk functieverbod: in de zwaarste gevallen

Naast directe financiële sancties spelen ook indirecte kosten een rol. Denk aan reputatieschade, verlies van klanten die hoge eisen stellen aan digitale veiligheid, en de kosten van herstelmaatregelen na een incident. In sectoren waar NIS2 van toepassing is, kan aantoonbare niet-naleving ook leiden tot het verliezen van contracten of aanbestedingen.

Geldt NIS2-aansprakelijkheid ook voor het MKB?

Ja, NIS2-aansprakelijkheid geldt ook voor het MKB, maar niet voor alle bedrijven. De richtlijn is van toepassing op organisaties in kritieke en belangrijke sectoren die voldoen aan bepaalde drempelwaarden voor omzet en personeelsomvang. MKB-bedrijven in sectoren zoals ICT-dienstverlening, energie, gezondheidszorg of transport kunnen dus wel degelijk onder de richtlijn vallen.

De NIS2-richtlijn onderscheidt twee categorieën:

  • Essentiële entiteiten: grotere organisaties in kritieke sectoren met meer dan 250 medewerkers of een omzet boven 50 miljoen euro
  • Belangrijke entiteiten: middelgrote organisaties met meer dan 50 medewerkers of een omzet boven 10 miljoen euro in aangewezen sectoren

Voor MKB-bedrijven die niet direct onder de richtlijn vallen, geldt de ketenverantwoordelijkheid als belangrijke factor. Klanten die zelf wel onder NIS2 vallen, zijn verplicht hun leveranciers te beoordelen op beveiligingsniveau. Dit betekent dat ook kleinere bedrijven in de praktijk te maken krijgen met NIS2-eisen via hun opdrachtgevers. Cybersecurity voor je bedrijf is daarmee voor vrijwel ieder MKB-bedrijf relevant geworden.

In Nederland wordt NIS2 vertaald naar de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Het is verstandig om nu al te inventariseren of jouw organisatie onder de wet valt.

Hoe kunnen bestuurders aantonen dat ze aan NIS2 voldoen?

Bestuurders kunnen aantonen dat ze aan NIS2 voldoen door een aantoonbare en gedocumenteerde aanpak van cyberveiligheid te hanteren. Dit betekent: vastgelegde risicoanalyses, goedgekeurde beveiligingsmaatregelen, aantoonbaar toezicht op de uitvoering en gedocumenteerde incidentprocedures. Documentatie is daarbij cruciaal, want zonder bewijs is naleving niet te bewijzen.

Praktische stappen die bestuurders kunnen zetten:

  • Voer een formele risicoanalyse uit en leg de uitkomsten vast in een rapport
  • Stel een beveiligingsbeleid op dat door het bestuur is ondertekend
  • Zorg voor een incidentresponsplan met duidelijke meldprocedures
  • Implementeer technische maatregelen zoals Microsoft 365-beveiliging, MFA en encryptie
  • Laat periodieke audits of assessments uitvoeren en documenteer de bevindingen
  • Train medewerkers aantoonbaar in cyberbewustzijn

Een gestructureerd compliance-traject helpt bestuurders niet alleen om aan de wet te voldoen, maar ook om bij een eventuele controle of incident aan te tonen dat ze hun verantwoordelijkheid serieus hebben genomen. Organisaties die werken met een framework zoals ISO 27001 hebben daarin een voorsprong, omdat dit framework veel raakvlakken heeft met de NIS2-vereisten. ISO 27001-begeleiding kan hierbij een waardevolle basis vormen.

Hoe IT Aanspreekpunt helpt met NIS2-compliance

Wij begrijpen dat NIS2-compliance voor veel bestuurders en ondernemers complex en tijdrovend aanvoelt. Toch is het iets wat je niet kunt uitstellen, zeker nu de Cyberbeveiligingswet naar verwachting in 2026 van kracht wordt. Wij ontzorgen je volledig in dit traject, zodat jij je kunt blijven focussen op je bedrijf.

Wat wij voor je doen:

  • Inventariseren of jouw organisatie onder NIS2 valt en wat dat concreet betekent
  • Uitvoeren van een risicoanalyse en vastleggen van bevindingen
  • Implementeren van technische maatregelen zoals MFA, patchbeheer, encryptie en toegangsbeleid
  • Inrichten van monitoring en updates zodat je beveiligingsniveau actueel blijft
  • Opstellen van incidentprocedures en compliance-rapportages
  • Begeleiden bij ISO 27001-trajecten als aanvullende borging

Als Microsoft 365-specialist en SharePoint Online-expert beschikken wij over de kennis en tools om jouw digitale beveiliging snel en effectief op orde te brengen. Wil je weten waar jouw organisatie nu staat en wat er nog moet gebeuren? Neem contact met ons op voor een vrijblijvend gesprek.

Ruben Talman

Ik help je
graag verder

Neem contact op

Bel mij terug

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hoe kunnen we je helpen?

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw IT zorgen wegnemen.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

0532032153Mail ons