Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

NIS2 en bestuursaansprakelijkheid: wat moet het bestuur doen?

Vastgesteld 2026-06-16 · ≈ 1 min lezen · Dirk Baaijen

Onder NIS2 keurt het bestuur de cyberbeveiligingsmaatregelen goed, ziet toe op de uitvoering, volgt verplichte training en kan aansprakelijk worden gesteld bij inbreuken op de zorgplicht.

Kort antwoord: NIS2 maakt het bestuursorgaan zelf verantwoordelijk voor cyberbeveiliging. Het bestuur moet de risicobeheersmaatregelen goedkeuren, toezien op de uitvoering en zelf training volgen. Lidstaten moeten voorzien in mogelijkheden om bestuurders aansprakelijk te stellen bij schending van die verplichtingen.

De verantwoordelijkheid van het bestuur (art. 20)

Artikel 20 van Richtlijn (EU) 2022/2555 legt cyberbeveiliging expliciet op het niveau van de leiding. De bestuursorganen van essentiële en belangrijke entiteiten moeten de in artikel 21 bedoelde risicobeheersmaatregelen goedkeuren en toezicht houden op de uitvoering ervan. De richtlijn maakt duidelijk dat dit geen IT-detail is dat lager in de organisatie kan worden weggezet: het is een bestuurstaak.

Aansprakelijkheid en training

Artikel 20 bepaalt dat lidstaten ervoor zorgen dat bestuursleden aansprakelijk kunnen worden gehouden voor inbreuken op de verplichtingen rond risicobeheersmaatregelen. De richtlijn verplicht bestuursleden bovendien om regelmatig scholing te volgen, zodat zij voldoende kennis hebben om cyberbeveiligingsrisico's te herkennen en te beoordelen. Het bestuur wordt aangemoedigd vergelijkbare training aan medewerkers aan te bieden.

Wat moet het bestuur concreet doen?

  • Goedkeuren — formeel besluiten over het beveiligingsbeleid en de

maatregelen uit artikel 21 (o.a. risicoanalyse, incidentafhandeling, toeleveringsketen, continuïteit).

  • Toezien — periodiek de uitvoering en effectiviteit toetsen en vastleggen.
  • Scholen — bestuursleden volgen training over cyberbeveiligingsrisico's.
  • Vastleggen — besluiten, goedkeuringen en toezicht documenteren, zodat de

zorgplicht aantoonbaar is.

Aandachtspunt: handhaving via nationale omzetting

NIS2 is een richtlijn; de precieze sancties en de invulling van de aansprakelijkheid worden vastgesteld in de nationale wetgeving waarmee lidstaten de richtlijn omzetten. Raadpleeg voor uw situatie de tekst van de richtlijn en de toelichting van de Europese Commissie, en volg de nationale implementatie en de aangewezen toezichthouder.

Lees ook: Transport & Logistiek. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): bestuurlijke governance (art. 20) en risicobeheersmaatregelen (art. 21).
  2. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europese Commissie — NIS2: governance en verantwoordelijkheid van bestuursorganen.

Deel op LinkedIn

Lees ook

W

Bestuurlijke AI Act-briefing: sjabloon voor directie en MT

Een beknopt sjabloon om de AI Act en het AI-gebruik op de bestuurstafel te krijgen: wat speelt er, welke risico's en deadlines, welke besluiten zijn nodig, en welke toezichtvragen het bestuur moet stellen. Neem het over voor je eerstvolgende MT/RvC.

U

AI-agents voor bestuurders: welke vragen moet je stellen?

Voor bestuurders draait het bij AI-agents niet om techniek maar om grip: wie is eigenaar, welke acties mag de agent zelf doen, hoe houden we toezicht, en wie is aansprakelijk? Deze duiding geeft de bestuurlijke kernvragen.

W

De AI Act voor de bestuurder: verantwoordelijkheid, aansprakelijkheid en toezicht

De AI Act maakt het bestuur eindverantwoordelijk voor verantwoord AI-gebruik. Boetes lopen tot 35 miljoen euro of 7% van de wereldwijde omzet. Dit overzicht legt uit waar het bestuur op moet sturen, hoe toezicht te organiseren en waar persoonlijke risico's liggen.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.