Menu

Filter op
content
PONT | Governance

0

Bestuurders en NIS2: van papierenverantwoordelijkheid naar persoonlijke aansprakelijkheid

De komst van de NIS2-richtlijn en de Cyberbeveiligingswet markeert een duidelijke verschuiving in de manier waarop organisaties naar cybersecurity moeten kijken. Waar cyberrisico’s lange tijd vooral werden belegd bij IT-afdelingen, komt de verantwoordelijkheid nu nadrukkelijk bij het bestuur te liggen. Dat is niet alleen een organisatorische verschuiving, maar ook een juridische.

14 juli 2026

Op 7 juli 2026 heeft de Eerste Kamer ingestemd met de Cyberbeveiligingswet; de wet waarmee de NIS2-richtlijn in Nederland wordt geïmplementeerd. Op 15 augustus 2026 treedt de wet in werking. Voor organisaties die onder deze wetgeving vallen, betekent dit dat zij vanaf dat moment moeten voldoen aan bepaalde verplichtingen op het gebied van cyberbeveiliging, risicobeheersing en incidentmelding. Ook bestuurders krijgen daarbij een nadrukkelijke verantwoordelijkheid. Wat betekent dit nu precies voor de bestuurders? 

Geen nieuwe aansprakelijkheid, wel een nieuwe invulling

Op Europees niveau bepaalt de NIS2-richtlijn dat lidstaten ervoor moeten zorgen dat bestuurders aansprakelijk kunnen worden gesteld wanneer zij tekortschieten in het naleven van cybersecurityverplichtingen. Op het eerste gezicht lijkt dat te wijzen op een nieuw aansprakelijkheidsregime. De Nederlandse wetgever kiest echter een andere route.

De Cyberbeveiligingswet introduceert geen nieuw aansprakelijkheidsregime op het gebied van bestuursrecht en handhaving, noch op het gebied van civielrechtelijke (bestuurders-)aansprakelijkheid. In plaats daarvan wordt aangesloten bij het bestaande bestuursrechtelijke en civielrechtelijke kader. Dit betekent dat kernbegrippen zoals ‘overtreding’ en ‘overtreder’ (art. 5:1 Algemene wet bestuursrecht (“Awb”) en bestaande handhavingsinstrumenten (zoals een bestuurlijke boete of last onder dwangsom) ongewijzigd blijven. Ook de grondslagen voor civiele bestuurdersaansprakelijkheid, zoals onder andere vastgelegd in artikel 2:9 van het Nederlands Burgerlijk Wetboek (“BW”), kunnen een rol spelen bij niet-naleving van de Cyberbeveiligingswet. 

Het verschil zit dus niet in het juridische instrument, maar in de norm waarlangs wordt getoetst. Cybersecurity wordt onderdeel van wat van een redelijk handelend bestuurder mag worden verwacht. Daarmee wordt het nalaten van adequate cybersecuritymaatregelen potentieel ook een reden van aansprakelijkheid. 

De verantwoordelijkheid ligt bij het bestuur

De verplichtingen uit de Cyberbeveiligingswet richten zich in de kern tot het bestuur van de organisatie. Het gaat daarbij om de ‘management body’: het dagelijks bestuur en de uitvoerende bestuurders. Toezichthoudende organen, zoals de raad van commissarissen, vallen in beginsel buiten deze directe verplichtingen.

De Cyberbeveiligingswet maakt het mogelijk om individuele bestuurders bestuursrechtelijk te sanctioneren, onder meer bij niet-naleving van de opleidingsverplichtingen op het gebied van cyberbeveiliging (zie ook hierna). Dit betekent dat een last onder dwangsom of een bestuurlijke boete direct aan een individueel bestuurslid kan worden opgelegd. In ernstige gevallen van niet-naleving van de wet kan een toezichthouder zelfs de civiele rechter verzoeken om bestuurders te schorsen. Bovendien blijkt uit de memorie van toelichting dat handhaving zich niet beperkt tot formele bestuurders. Zo kan bij overtredingen, onder omstandigheden, ook handhavend worden opgetreden tegen feitelijk leidinggevenden of opdrachtgevers.

Indien een bestuurder nalaat te voldoen aan de verplichtingen van de Cyberbeveiligingswet (zoals het nemen van beveiligingsmaatregelen) en dit leidt tot schade voor de rechtspersoon, kan een bestuurder mogelijk ook civielrechtelijk aansprakelijk zijn op grond van onbehoorlijk bestuur (artikel 2:9 BW). Ook is denkbaar dat een bestuurder aansprakelijk kan zijn tegenover derden (artikel 6:162 BW). De verwachting is dat jurisprudentie zich op dit punt zal ontwikkelen na inwerkingtreding van de wet. 

Opleidingsplicht: bestuurders moeten cybersecurity begrijpen

Een van de meest concrete verplichtingen die uit de Cyberbeveiligingswet voortvloeit, is de opleidingsplicht voor bestuurders. Ieder bestuurslid moet beschikken over voldoende kennis en vaardigheden op het gebied van cybersecurity. Dat is geen eenmalige exercitie, maar een doorlopende verplichting.

De wet schrijft niet voor welke concrete opleiding moet worden gevolgd, maar stelt wel eisen aan de inhoud. Bestuurders moeten in staat zijn cyberrisico’s te herkennen, passende beveiligingsmaatregelen te beoordelen en de impact van incidenten op de continuïteit van de organisatie te begrijpen. Dat vraagt om meer dan algemene bewustwording, het gaat om het bestuurlijk kunnen toepassen. In de praktijk kan worden gedacht aan executive trainingen, riskmanagementprogramma’s of boardroom simulaties. Essentieel is dat deze trainingen aantoonbaar de relevante thema’s behandelen en worden afgesloten met een certificaat. Dat certificaat fungeert als bewijs dat aan de opleidingsverplichting is voldaan.

Voor nieuwe bestuurders geldt dat zij binnen twee jaar na benoeming aan deze opleidingsplicht moeten voldoen. Voor zittende bestuurders loopt een vergelijkbare termijn vanaf het moment dat de wet in werking treedt. Tegelijkertijd geldt vanaf moment van inwerkingtreding al de verplichting om voldoende kennis te hebben. Bestuurders zullen dus moeten kunnen aantonen dat zij ook vóór het behalen van een (nieuw) certificaat al over de benodigde kennis beschikten.

Meer dan alleen een opleidingsplicht

De verplichtingen voor bestuurders gaan echter verder dan alleen het volgen van een opleiding. Van bestuurders wordt een actieve rol verwacht bij de inrichting van en het toezicht op cybersecurity binnen de organisatie. Dat begint bij het goedkeuren van de te nemen cybermaatregelen. Bestuurders mogen zich daarbij niet beperken tot een formele handtekening; zij moeten zich daadwerkelijk verdiepen in de inhoud van de maatregelen en een zelfstandig oordeel vormen. Vervolgens moeten zij ook toezien op de implementatie en werking van die maatregelen. Dit impliceert dat cybersecurity een vast onderdeel wordt van de governance en risicobeheersing.

Daarnaast moeten bestuurders in staat zijn om cyberrisico’s te duiden en deze te plaatsen in de bredere context van de organisatie. Wat betekent een bepaald risico voor de continuïteit van de dienstverlening? Welke prioriteiten stel je? Welke investeringen zijn nodig? Dat zijn vragen die nadrukkelijk op bestuursniveau thuishoren. 

Tot slot draagt het bestuur een voorbeeldfunctie. Dit betekent dat zij het belang van cybersecurity zichtbaar uitdragen binnen de organisatie, investeren in bewustwording onder de medewerkers en ervoor zorgen dat ook andere medewerkers voldoende worden getraind. 

Wat betekent dit voor de praktijk?

Hoewel de Cyberbeveiligingswet officieel nog in werking moet treden, is afwachten geen optie. Enerzijds omdat organisaties zich nu al zullen moeten voorbereiden op de verplichtingen die gaan gelden. Anderzijds omdat recente cyberincidenten bij onder meer Odido, ChipSoft, Basic-Fit, Rituals, Hallmark en Booking.com laten zien dat cyberdreigingen een groot risico vormen voor alle soorten organisaties.

Van bestuurders wordt dan ook verwacht dat zij zich actief verdiepen in cybersecurity, over de juiste kennis beschikken en daadwerkelijk sturen op de beheersing van cyberrisico’s. Dat begint met het structureel agenderen van cybersecurity op de bestuursagenda en het verkrijgen van inzicht in de specifieke risico’s van de organisatie. Een risicogebaseerde aanpak staat daarbij centraal: maatregelen moeten aansluiten bij de feitelijke dreigingen. Daarnaast is het belangrijk om te zorgen voor heldere rapportages over cyberrisico’s en incidenten. In de praktijk kan dit betekenen dat de rol van bijvoorbeeld een CISO wordt versterkt of explicieter wordt ingericht. Ook is het verstandig om te kijken naar bestaande verzekeringen voor bestuurdersaansprakelijkheid en na te gaan in hoeverre deze dekking bieden voor cybergerelateerde risico’s.

Artikel delen

Reacties

Laat een reactie achter