NIS2 maakt bestuurders verantwoordelijk voor cybersecurity

NIS2 maakt bestuurders verantwoordelijk voor cybersecurity

16 april 2026 Consultancy.nl
NIS2 maakt bestuurders verantwoordelijk voor cybersecurity

Naleving van de NIS2-richtlijn wordt vaak gezien als een verantwoordelijkheid van de CIO en de IT-afdeling. Maar een belangrijk kenmerk van de Europese richtlijn is dat ook het hoger management verantwoordelijkheid draagt voor naleving en toezicht. Experts van Van Dam Datapartners geven uitleg.

De NIS2-richtlijn biedt een reeks regels om een hoger niveau van cybersecurity te bereiken voor netwerk- en informatiesystemen in bedrijven en organisaties. De richtlijn beoogt dat EU-landen zichzelf beter beschermen tegen cyberdreigingen die diverse economische en reputatiegevolgen kunnen hebben voor publieke organisaties.

Tegenwoordig vereist de norm dat lidstaten ervoor zorgen dat beheersorganen de maatregelen voor cybersecurity-risicobeheer goedkeuren, toezien op de adequate implementatie ervan en actief deelnemen aan gespecialiseerde cybersecurity-trainingen.

Bovendien kunnen bestuurders nu persoonlijk aansprakelijk worden gesteld voor inbreuken. De ontwikkeling van een passend minimumniveau van bekwaamheid in cybersecurity door de beheersorganen zal daarom in de toekomst onvermijdelijk zijn.

De richtlijn benadrukt dat cybersecurity niet langer wordt beschouwd en behandeld als een puur IT-vraagstuk, maar als een cruciale ruggengraat van de bedrijfsvoering (corporate governance).

Het volgende overzicht specificeert de belangrijkste vereisten en risico’s voor het hoger management onder NIS2:

Definitie van het ‘beheersorgaan’

NIS2 is opzettelijk breed over wie als een ‘beheersorgaan’ moet worden beschouwd. De richtlijn biedt geen pasklare definitie, maar deze term verwijst over het algemeen naar de wettelijk vertegenwoordigers van een organisatie zoals de raad van bestuur en/of het uitvoerend management.

Het beheersorgaan moet de senioriteit en de autoriteit hebben om over cybersecurity-maatregelen te beslissen, deze goed te keuren en toezicht te houden op de implementatie ervan.

Taken en verantwoordelijkheden

Beheersorganen van publieke entiteiten krijgen te maken met drie primaire wettelijke mandaten:

  1. Goedkeuring van maatregelen: Zij moeten formeel de cybersecurity-risicobeheersmaatregelen goedkeuren (bijvoorbeeld incidentafhandeling, beveiliging van de toeleveringsketen en cryptografie) die door de entiteit zijn genomen.
  2. Toezicht: Zij zijn verantwoordelijk voor het toezicht op de implementatie en de voortdurende effectiviteit van deze maatregelen.
  3. Verplichte training: Belangrijke figuren binnen het beheersorgaan zijn verplicht om adequate cybersecurity-trainingen te volgen om voldoende kennis en overzicht te verwerven om risico’s te identificeren en de impact van beveiligingspraktijken op de diensten van de entiteit te beoordelen.

Onder Artikel 34(7) van de richtlijn hebben lidstaten de discretie om te beslissen of en in welke mate administratieve boetes van toepassing zijn op overheidsinstanties.

Hoewel de NIS2-wet naar verwachting in het tweede kwartaal van 2026 in werking zal treden, was er op 23 maart 2026 in de Tweede Kamer al wel een wetgevingsoverleg over de Cyberbeveiligingswet en daarbij horende thema’s als toepassingsbereik, de zorgplicht, de meldplicht, de uitvoering, het toezicht en de overlap tussen beide voorgestelde wetten.

Hiermee heeft de Nederlandse overheid al een primair kader aangewezen dat gemeenten moeten gebruiken om aan hun wettelijke zorgplicht te voldoen. Deze ‘Wettelijke zorgplicht’ slaat terug op Artikel 24 van de Cyberbeveiligingswet; deze verplicht gemeenten om bestuurders aantoonbaar op te leiden op het gebied van digitale risico’s. De formele eindverantwoordelijkheid ligt bij het college, niet bij de CISO.

De 10 essentiële veiligheidspijlers van de wettelijke zorgplicht

Het Nationaal Cyber Security Centrum (NCSC) en het Cybersecurity Besluit groeperen de zorgplicht in tien verplichte gebieden:

  1. Risicoanalyse & Informatiebeveiligingsbeleid: Formaliseren hoe risico’s worden geïdentificeerd en afgehandeld.
  2. Incidentafhandeling: Het hebben van een duidelijk plan voor wanneer (niet als) een inbreuk plaatsvindt.
  3. Bedrijfscontinuïteit: Zorgen dat diensten (zoals het uitgeven van paspoorten of sociale steun) online blijven via back-ups en crisisbeheer.
  4. Beveiliging van de toeleveringsketen: Het auditen van de beveiliging van externe IT-leveranciers en cloudproviders.
  5. Netwerk- en systeembeveiliging: Veilige ontwikkeling en onderhoud van software.
  6. Evaluatie van effectiviteit: Regelmatig testen of beveiligingsmaatregelen daadwerkelijk werken (bijvoorbeeld pentesten).
  7. Cyberhygiëne & Training: Verplichte training voor al het personeel en gespecialiseerde training voor leidinggevenden.
  8. Cryptografie: Juist gebruik van encryptie voor gevoelige (inwoner)gegevens.
  9. Personeelsbeveiliging: Toegangscontrolebeleid en screeningprocedures.
  10. MultiFactor Authenticatie (MFA): Gebruik van MFA of gelijkwaardige hoogwaardige authenticatie voor alle kritieke systemen.

Bestuurlijke verantwoordelijkheid

De wet verschuift de verantwoordelijkheid van de IT-afdeling naar het bestuur.

  • Goedkeuring: Het College van Burgemeester en Wethouders moet formeel de cybersecurity-risicobeheersmaatregelen goedkeuren.
  • Kennisvereiste: Bestuurders zijn wettelijk verplicht om cybersecuritytrainingen te volgen. Zij moeten hun kennis kunnen aantonen, vaak via een certificaat van deelname.
  • Toezicht: Het bestuur is verantwoordelijk voor het toezicht op de implementatie; zij kunnen niet langer beweren dat het een ‘technische kwestie’ is als er een groot incident plaatsvindt door nalatigheid.

Rapportagetermijnen

Onder de zorgplicht moeten gemeenten zich ook houden aan een strikt rapportageproces in drie stappen, voor ‘significante’ incidenten. Binnen:

  • 24 uur: Een vroege waarschuwing aan de RDI (Rijksinspectie Digitale Infrastructuur) en de IBD (Informatiebeveiligingsdienst voor gemeenten, het gemeentelijke CSIRT).
  • 72 uur: Een gedetailleerde incidentmelding.
  • 1 maand: Een eindrapport inclusief een analyse van de hoofdoorzaak en geleerde lessen.

Strategische implicaties

Deze regels veranderen de risicobereidheid van besturen. Omdat het management het juridische risico van een cyberincident niet langer kan delegeren, moeten organisaties:

  • Governance-structuren herzien: Duidelijk definiëren welke interne commissie of welk orgaan dient als het beheersorgaan voor NIS2-doeleinden.
  • Trainingen plannen: Cybersecurity-educatie voor leidinggevenden en bestuurders behandelen als een vereiste voor het naleven van de wet, in plaats van een optionele professionele ontwikkelingstaak.

Conclusie 

De NIS2-richtlijn maakt cybersecurity nadrukkelijk een verantwoordelijkheid van het hoogste management, waarbij bestuurders actief moeten sturen, toezicht houden en zich laten trainen.

Organisaties moeten hun governance, processen en beveiligingsmaatregelen structureel versterken om te voldoen aan strengere eisen en rapportageverplichtingen. Dit markeert een fundamentele verschuiving: cybersecurity is niet langer een IT-onderwerp, maar een kernonderdeel van goed bestuur en risicomanagement.

Lees ook

More on: Van Dam Datapartners
Netherlands
Company profile
Van Dam Datapartners
Van Dam Datapartners is a Netherlands partner of Consultancy.org
Partnership information »
Partnership information

Consultancy.org works with three partnership levels: Local, Regional and Global.

Van Dam Datapartners is a not a partner of Consultancy.org.

Upgrade or more information? Get in touch with our team for details.

Send
Van Dam Datapartners ondersteunt gemeente bij risicogericht toezicht op jeugdzorg
Netherlands
Van Dam Datapartners ondersteunt gemeente bij risicogericht toezicht op jeugdzorg Een middelgrote jeugdzorgregio ontving signalen over mogelijke onrechtmatigheden bij een zorgaanbieder – afwijkende declaratiepatronen, twijfel over de personeelsinzet en vraagtekens bij de feitelijk geleverde zorg.
12 mei 2026
‘Digitale weerbaarheid is geen certificaat’ – van compliance naar weerbaarheid bij NIS2
Netherlands
‘Digitale weerbaarheid is geen certificaat’ – van compliance naar weerbaarheid bij NIS2 Digitale weerbaarheid onder NIS2 draait niet alleen om het afvinken van regels, maar om structurele bestuurlijke verantwoordelijkheid en aantoonbare controle over risico’s.
30 april 2026
Wat verandert er door de AI Act?
Netherlands
Wat verandert er door de AI Act? De inwerkingtreding van de Europese AI-verordening, ook wel de AI Act genoemd, markeert een paradigmaverschuiving in de digitale rechtsorde.
22 april 2026
Van Dam Datapartners helpt Medemblik met opschalen van datagedreven werken
Netherlands
Van Dam Datapartners helpt Medemblik met opschalen van datagedreven werken Gemeente Medemblik was gestart met datagedreven werken, maar had de wens dit verder op te schalen en uit te breiden.
11 februari 2026
Van individuele hulp naar systeemimpact: Nennien Boudewijns over haar start bij Van Dam Datapartners
Netherlands
Van individuele hulp naar systeemimpact: Nennien Boudewijns over haar start bij Van Dam Datapartners Mensen helpen op een kwetsbaar moment in hun leven – dat staat al sinds dag één centraal in het werk van Nennien Boudewijns.
05 december 2025
Nulmeting Datagedreven Begroten: Van informatie naar inzicht
Netherlands
Nulmeting Datagedreven Begroten: Van informatie naar inzicht Veel organisaties worstelen met de vraag hoe zij hun planning- en controlcyclus wendbaarder en meer datagedreven kunnen maken.
25 november 2025
Van Dam Datapartners helpt RSJ IJsselland met grip op jeugdzorginkoop
Netherlands
Van Dam Datapartners helpt RSJ IJsselland met grip op jeugdzorginkoop In de regio IJsselland voeren elf gemeenten via het Regionaal Serviceteam Jeugd de jeugdzorg uit. Om meer grip te krijgen op het bijhorende vernieuwde inkoopproces, schakelde RSJ IJsselland Van Dam Datapartners in.
15 juli 2025
Zorgfraude opsporen en bestrijden met behulp van datagedreven werken
Netherlands
Zorgfraude opsporen en bestrijden met behulp van datagedreven werken Gemeenten kunnen met behulp van datagedreven werken een flinke stap zetten in het effectiever opsporen en aanpakken van zorgfraude.
24 april 2025

Cybersecurity nieuws

Cybersecurity adviesbureaus Cybersecurity consultancy diensten

Risk & Compliance nieuws

Risk & Compliance adviesbureaus Risk & Compliance consultancy diensten