Categorieën bekijken

NIS2 aansprakelijkheid voor bestuurders: wat u moet weten

Vanaf eind 2024 is de NIS2-richtlijn (Network and Information Security 2) van kracht. Deze Europese richtlijn legt strengere eisen op rond cyberbeveiliging en brengt een belangrijke wijziging met zich mee: als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk.

NIS2 aansprakelijkheidWat is NIS2 aansprakelijkheid?
 #

NIS2 breidt de verantwoordelijkheden van organisaties uit op het gebied van cybersecurity. Een van de opvallendste wijzigingen is de formele NIS2 aansprakelijkheid van bestuurders. Zij moeten actief toezien op naleving van de richtlijn en zijn verantwoordelijk voor:

  • Het goedkeuren van risicobeheersmaatregelen (artikel 18)
  • Het toezicht op de implementatie van cybersecurity
  • De algemene naleving van de richtlijn binnen de organisatie

Dit betekent dat bestuurders niet alleen strategische, maar ook operationele verantwoordelijkheid dragen voor de digitale weerbaarheid van hun organisatie.

Cybersecuritytraining voor bestuurders #

Als lid van een bestuursorgaan bent u verplicht om opleiding te volgen, zodat uw kennis en vaardigheden voldoende zijn om cybersecurity-risico’s te identificeren. U moet tevens in staat zijn de maatregelen voor het beheersen van deze risico’s en hun impact op de door uw organisatie geleverde diensten te beoordelen.

Een bestuurder moet aantoonbaar inzicht hebben in:

  • Cyberrisico’s en dreigingen;
  • De impact van beveiligingsincidenten op bedrijfsvoering;
  • Het implementeren en evalueren van passende beveiligingsmaatregelen.

Hiervoor worden specifieke cybersecuritytrainingen aanbevolen, afgestemd op de rol van het bestuur.

Toezicht en sancties onder NIS2 #

In België controleert het Centrum voor Cybersecurity België (CCB) of organisaties voldoen aan de NIS2‑verplichtingen. Voor essentiële en belangrijke entiteiten betekent dit dat ze regelmatig moeten aantonen dat hun cyberbeveiliging op orde is.

Een organisatie kan kiezen uit de volgende drie manieren:

  • Een certificering (niveau Essential) of een verificatie (niveau Important of Basic), uitgevoerd door een door BELAC-geaccrediteerde en een door het CCB goedgekeurde instantie;
  • ISO/IEC 27001‑certificering welke is afgegeven door een geaccrediteerde certificatie‑instelling welke door het CCB wordt aanvaard;
  • Een inspectie door de inspectiedienst van het CCB of door een sectorale inspectiedienst.

Bij niet‑naleving van de NIS2‑verplichtingen kan de toezichthouder stevige maatregelen opleggen. Inspecteurs mogen ter plaatse gaan, bevindingen vastleggen en op basis daarvan een procedure starten. De zwaarte van de sanctie hangt af van de ernst en of er sprake is van herhaling.

Onder meer de volgende sancties kunnen volgen:

  • Waarschuwingen of bindende instructies;
  • (Tijdelijke) schorsing van bestuursverantwoordelijken of een controlefunctionaris aanstellen;
  • Boetes — variërend van honderden tot miljoenen euro’s, afhankelijk van de entiteit (essentieel/belangrijk) en de omzet;
  • Verplichte openbaarmaking van inbreuken of het informeren van klanten;
  • Aanpassing of zelfs tijdelijke stopzetting van activiteiten.

Waarom NIS2 zo belangrijk is voor bestuurders #

Cyberdreigingen nemen toe in intensiteit en complexiteit. NIS2 verplicht organisaties én hun bestuurders om actief beleid te voeren op het vlak van digitale veiligheid. De juridische en financiële gevolgen van non-compliance zijn aanzienlijk.

Door nu al te investeren in risicobeheersing, training en certificering, kunnen bestuurders hun organisatie voorbereiden op de aankomende verplichtingen én hun eigen aansprakelijkheid beperken.

Veelgestelde vragen #

Wie is aansprakelijk onder NIS2? #

Bestuurders van zowel essentiële als belangrijke entiteiten zijn onder NIS2 persoonlijk aansprakelijk voor de naleving van cybersecuritymaatregelen binnen hun organisatie.

Wat zijn de boetes bij niet-naleving van NIS2? #

Bij niet-naleving kunnen boetes worden opgelegd, activiteiten worden stopgezet of bestuurders tijdelijk worden geschorst. Ook kan uw organisatie publiekelijk genoemd worden als niet-conform.

Welke maatregelen moeten bestuurders nemen? #

Bestuurders moeten risicobeheersmaatregelen goedkeuren, toezicht houden op implementatie en deelnemen aan cybersecuritytrainingen.