De tijd dat cyberbeveiliging vooral een technisch vraagstuk was, ligt definitief achter ons. Met de komst van de NIS2-richtlijn, die in Nederland wordt geïmplementeerd via de Cyberbeveiligingswet (Cbw), wordt cyberbeveiliging expliciet een bestuurdersverantwoordelijkheid. Bestuurders moeten aantoonbaar sturen op digitale veiligheid en kunnen persoonlijk aansprakelijk worden gehouden bij ernstige nalatigheid.
NIS2 plaatst cyberbeveiliging daarmee stevig op de bestuurdersagenda: het hoogste leidinggevende orgaan krijgt niet alleen meer taken, maar ook meer persoonlijke exposure en opleiding- en toezichtverplichtingen.
Voor veel bestuurders is dit een wake-up call. In dit blog leg ik, Anna Mischke, uit hoe dat zit én wat er precies wordt verwacht van bestuurders.
NIS2 verandert de rol van bestuurders fundamenteel. Cyberbeveiliging is niet langer een onderwerp dat uitsluitend bij de IT-afdeling of de CISO ligt, maar een integraal onderdeel van goed bestuur. Net zoals bestuurders verantwoordelijkheid dragen voor financiële beheersing en bedrijfscontinuïteit, worden zij nu ook geacht actief te sturen op de digitale weerbaarheid van hun organisatie.
Dat betekent dat cyberbeveiliging steeds meer draait om governance: het maken van bestuurlijke keuzes, het beheersen van risico’s en het houden van toezicht op de uitvoering. Het bestuur is verantwoordelijk voor het informatiebeveiligingsbeleid én voor de naleving van de Cyberbeveiligingswet. Van bestuurders wordt verwacht dat zij aantoonbaar invulling geven aan hun zorgplicht door cyberrisico’s te herkennen, te beoordelen en passende maatregelen te laten treffen om deze risico’s te beheersen.
Het delegeren van taken aan een CISO, IT-manager of externe leverancier verandert daar niets aan. Zij kunnen adviseren, uitvoeren en rapporteren, maar de eindverantwoordelijkheid blijft bij het bestuur. Bestuurders moeten zich daarom actief laten informeren over de cyberrisico’s binnen de organisatie, regelmatig in gesprek zijn met de CISO of informatiebeveiligingsverantwoordelijke en kunnen beoordelen of de getroffen maatregelen passend en effectief zijn.
Cyberbeveiliging wordt daarmee een vast onderdeel van goed bestuur. Dat vraagt van bestuurders niet alleen betrokkenheid, maar ook voldoende kennis en vaardigheden om risico’s te herkennen, beheersmaatregelen te beoordelen en de impact van cyberincidenten op de organisatie in te schatten. Bestuurders vervullen daarmee een actievere en beter geïnformeerde rol op het gebied van cyber- en informatiebeveiliging.
De belangrijkste bestuurlijke verantwoordelijkheden
De Cyberbeveiligingswet vraagt niet alleen om technische beveiligingsmaatregelen, maar ook om actief bestuur. Voor bestuurders betekent dit vier belangrijke verantwoordelijkheden.
1. Governance: zorg voor goed bestuur van cyberbeveiliging
Cyberbeveiliging is een governancevraagstuk. Het bestuur moet sturen, toezicht houden en verantwoordelijkheid nemen voor de digitale weerbaarheid van de organisatie.Dat betekent dat verantwoordelijkheden duidelijk zijn belegd, cyberrisico’s structureel worden besproken en bestuurders beschikken over de juiste rapportages om de digitale weerbaarheid van de organisatie te beoordelen. Cyberbeveiliging hoort daarmee thuis in dezelfde bestuurlijke cyclus als financiële beheersing, privacy en andere strategische risico’s.
2. Risicobeheersing: stuur actief op cyberrisico’s
Bestuurders hebben een wettelijke zorgplicht om cyberrisico’s te herkennen, te beoordelen en te beheersen. Dat vraagt om meer dan een jaarlijkse risicoanalyse. Van bestuurders wordt verwacht dat zij aantoonbaar sturen op een continu proces van risicomanagement, waarbij risico’s worden geïdentificeerd, gemonitord en beheersmaatregelen waar nodig worden bijgestuurd.Concreet betekent dit dat bestuurders actief toezien op onder andere:
- Risicoanalyses. Het periodiek beoordelen van dreigingen, kwetsbaarheden en de mogelijke impact op de organisatie. Deze analyses vormen de basis voor het bepalen van passende beveiligingsmaatregelen.
- Continu risicomanagement. Cyberrisico’s veranderen voortdurend. Daarom moeten risico’s, beheersmaatregelen en de effectiviteit daarvan structureel worden gemonitord, geëvalueerd en waar nodig worden aangepast.
- Incidentrespons. De organisatie moet cyberincidenten tijdig kunnen detecteren, escaleren, beheersen en evalueren. Daarnaast geldt bij een significant cyberincident een wettelijke meldplicht. Binnen 24 uur moet een eerste melding worden gedaan bij het CSIRT en de bevoegde toezichthouder (bijvoorbeeld de RDI) via het NCSC-portaal. Binnen 72 uur volgt een gedetailleerde melding en binnen een maand een eindrapport. Het bestuur ziet erop toe dat hiervoor duidelijke processen, verantwoordelijkheden en besluitvorming zijn ingericht, zodat incidenten tijdig worden afgehandeld en de wettelijke meldtermijnen worden nageleefd.
- Ketenbeveiliging. De zorgplicht strekt zich ook uit tot leveranciers, partners en andere ketenpartijen. Organisaties moeten afhankelijkheden in de toeleveringsketen systematisch in kaart brengen: welke processen, systemen en gegevensstromen zijn afhankelijk van welke leveranciers? Dit is
een expliciet onderdeel van de Cyberbeveiligingswet.Daarnaast moeten organisaties beleid opstellen voor de beveiliging van leveranciers en uitbestede diensten. Het bestuur ziet erop toe dat deze risico’s worden geïdentificeerd, beoordeeld en beheerst. Daarmee wordt ketenbeveiliging niet alleen een contractuele verplichting, maar een integraal onderdeel van het risicomanagement en de bestuurlijke verantwoordelijkheid.
3. Trainingsplicht: zorg voor voldoende kennis en vaardigheden
Alle leden van het bestuur moeten een training volgen over cyberbeveiliging. Bestuurders moeten aantoonbaar beschikken over actuele kennis en vaardigheden. Een certificaat van een passende bestuurderstraining kan daarbij dienen als bewijs dat aan deze verplichting is voldaan.De training moet bestuurders in staat stellen om:
- Cyberrisico’s te herkennen.
- Beheersmaatregelen te beoordelen.
- De impact van incidenten op de bedrijfsvoering te begrijpen.
Bestuursleden moeten binnen twee jaar na inwerkingtreding van de Cbw, uiterlijk medio 2028, over de juiste kennis en vaardigheden beschikken. Nieuwe bestuursleden moeten binnen twee jaar na benoeming voldoen. Dit is bovendien geen eenmalige verplichting: kennis moet daarna aantoonbaar up-to-date blijven.
Hoewel de wet een termijn van twee jaar biedt, adviseren wij bestuurders nadrukkelijk om niet tot het laatste moment te wachten. Cyberrisico’s zijn vandaag al aanwezig en het dreigingslandschap ontwikkelt zich razendsnel. Nieuwe aanvalsmethoden, kwetsbaarheden en wettelijke verplichtingen volgen elkaar in hoog tempo op. Juist bestuurders hebben er baat bij om tijdig kennis op te bouwen, zodat zij risico’s beter kunnen beoordelen, hun verantwoordelijkheden adequaat kunnen invullen en goed geïnformeerde strategische beslissingen kunnen nemen. Het volgen van de training op korte termijn draagt daarom niet alleen bij aan wettelijke naleving, maar versterkt ook direct de weerbaarheid van de organisatie.
4. Toezicht: blijf aantoonbaar betrokken en eindverantwoordelijk
Bestuurders zijn verantwoordelijk voor de naleving van de Cyberbeveiligingswet. Zij moeten zich actief laten informeren over de grootste cyberrisico’s, de voortgang van verbetermaatregelen en de effectiviteit van het informatiebeveiligingsbeleid. Daarnaast moeten zij betrokken zijn bij belangrijke besluiten en vraagstukken op het gebied van cyber- en informatiebeveiliging.Dit vraagt om duidelijke afspraken binnen het bestuur over welke informatie wordt gerapporteerd, welke KPI’s worden gevolgd, wanneer escalatie plaatsvindt en hoe bestuurders op de hoogte blijven van de belangrijkste cyberrisico’s. Alleen dan kan het bestuur aantonen dat het daadwerkelijk invulling geeft aan zijn toezichthoudende rol.
De Nederlandse Cyberbeveiligingswet treedt 15 augustus 2026 in werking. Wachten tot alles duidelijk is? Dat is eigenlijk geen optie meer. De contouren van de regelgeving zijn helder genoeg om nu al stappen te zetten.
Een aanpak die ik in de praktijk goed zie werken is de all‑hazard benadering: digitale risico’s combineren met fysieke beveiliging, continuïteit en crisismanagement. Niet alles in losse silo’s, maar als één geheel.
Ik kan me voorstellen dat je je als bestuurder afvraagt: “waar begin ik concreet?”. Drie dingen die ik zou aanraden:
1. Plan een gesprek in met je CISO (of informatiebeveiligingsverantwoordelijke)
De Cbw verwacht dat bestuurders regelmatig spreken met hun CISO over cyberbeveiliging. Vraag waar je organisatie nu staat, wat de grootste gaps zijn en wat er nodig is. Niet over drie maanden, maar deze week nog. Je hoeft niet alles zelf te weten, maar je moet wél weten waar je kwetsbaar bent.
2. Volg een bestuurderstraining op het gebied van cyberweerbaarheid
De trainingsplicht is geen formaliteit. Je moet straks met een certificaat kunnen aantonen dat je de impact van de Cyberbeveiligingswet begrijpt. Daarom is het belangrijk om tijdig een training te volgen die aansluit bij de verantwoordelijkheden van bestuurders. Tijdens de NIS2 bestuurderstraining van Cuccibu krijgen bestuurders de kennis en inzichten aangereikt die nodig zijn om hun rol en verantwoordelijkheden op het gebied van cyberweerbaarheid effectief in te vullen. De training is praktijkgericht en specifiek ontwikkeld voor bestuurders.
3. Maak cyberbeveiliging een vast onderdeel op de bestuurdersagenda
Niet één keer per jaar bij het jaarverslag, maar structureel. Cyberbeveiliging verdient dezelfde aandacht als financiële, operationele en andere strategische risico’s. De bestaande processen voor risicobeheersing bieden vaak een goed uitgangspunt om ook cyberrisico’s op een gestructureerde manier te bespreken en te monitoren. Door cyberbeveiliging regelmatig op de bestuurdersagenda te zetten, ontstaat meer bewustwording, betere sturing en een sterkere verankering van het onderwerp binnen de organisatie.
Kortom: het begint bij jou als bestuurder. De organisatie kan pas bewegen als de top beweegt.
Veel bestuurders denken bij boetes en aansprakelijkheid nog aan de organisatie. Maar de nieuwe regelgeving verschuift die grens. En dat maakt het voor bestuurders een stuk concreter en urgenter.
Persoonlijke aansprakelijkheid
Op grond van artikel 24 van de Cyberbeveiligingswet moeten bestuurders de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren, toezien op de uitvoering ervan, en kunnen zij aansprakelijk worden gesteld voor inbreuken.
NIS2 gaat uit van collectieve verantwoordelijkheid, met ruimte voor individuele aansprakelijkheid. Niet omdat je pech had, maar omdat je wist, of had moeten weten, dat er risico’s waren en daar niet naar hebt gehandeld. “Daar gaat de IT-afdeling over” is geen houdbaar verweer meer.
Let op: dit geldt niet alleen voor bestuurders van BV’s en NV’s. Ook bij een maatschap of vof rust de verantwoordelijkheid op de schouders van alle individuele maten of vennoten.
Persoonlijke boetes
Naast de boetes voor de organisatie, die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet, kunnen toezichthouders ook jou als bestuurder individueel aanspreken. De Cyberbeveiligingswet voorziet zelfs in de mogelijkheid om bestuurders bij aantoonbare nalatigheid tijdelijk te schorsen uit hun leidinggevende functie. De maatregel treft dan de persoon, niet de organisatie.
De boodschap is niet om in paniek te raken, maar wel om tijdig te handelen. Wie kan aantonen zorgvuldig te hebben gehandeld, met vastgelegde besluiten, adequate informatievoorziening en actief toezicht, verkleint de kans op een ernstig verwijt aanzienlijk.
NIS2 verandert cyberbeveiliging van een technisch vraagstuk in een strategisch governance-onderwerp. Bestuurders moeten:
De vrijblijvendheid is voorbij. NIS2 vraagt om leiderschap, duidelijke keuzes en een volwassen beheersing van cyberrisico’s. Met bijbehorende verantwoordelijkheden én kansen, want wie dit goed inricht, maakt de organisatie niet alleen compliant, maar vooral digitaal weerbaarder.