Categorieën bekijken

NIS2 aansprakelijkheid voor bestuurders: wat u moet weten

Vanaf eind 2024 is de NIS2-richtlijn (Network and Information Security 2) van kracht. Deze Europese richtlijn legt strengere eisen op rond cyberbeveiliging en brengt een belangrijke wijziging met zich mee: bestuurders van essentiële en belangrijke entiteiten worden persoonlijk aansprakelijk voor het naleven van de richtlijn.

NIS2 aansprakelijkheidWat is NIS2 aansprakelijkheid?
 #

NIS2 breidt de verantwoordelijkheden van organisaties uit op het gebied van cybersecurity. Een van de opvallendste wijzigingen is de formele aansprakelijkheid van bestuurders. Zij moeten actief toezien op naleving van de richtlijn en zijn verantwoordelijk voor:

  • Het goedkeuren van risicobeheersmaatregelen (artikel 18)
  • Het toezicht op de implementatie van cybersecurity
  • De algemene naleving van de richtlijn binnen de organisatie

Dit betekent dat bestuurders niet alleen strategische, maar ook operationele verantwoordelijkheid dragen voor de digitale weerbaarheid van hun organisatie.

Cybersecuritytraining voor bestuurders #

NIS2 verplicht dat leden van het management opgeleid zijn in cybersecurity. Bestuurders moeten aantoonbaar inzicht hebben in:

  • Cyberrisico’s en dreigingen
  • De impact van beveiligingsincidenten op bedrijfsvoering
  • Het implementeren en evalueren van passende beveiligingsmaatregelen

Hiervoor worden specifieke cybersecuritytrainingen aanbevolen, afgestemd op de rol van het bestuur.

Toezicht en sancties onder NIS2 #

De naleving van de richtlijn wordt in elk EU-land gecontroleerd door een nationale toezichthouder. Die heeft vergaande bevoegdheden, zoals:

  • Inspecties op afstand en op locatie
  • Uitvoeren van audits en steekproeven
  • Opvragen van informatie over uw cybermaatregelen

Bij niet-naleving gelden er stevige sancties. Denk aan:

  • Waarschuwingen of bindende instructies
  • Het (tijdelijk) schorsen van bestuursverantwoordelijken
  • Boetes en verplichte openbaarmaking van inbreuken
  • Aanpassing of stopzetting van activiteiten

Waarom NIS2 zo belangrijk is voor bestuurders #

Cyberdreigingen nemen toe in intensiteit en complexiteit. NIS2 verplicht organisaties én hun bestuurders om actief beleid te voeren op het vlak van digitale veiligheid. De juridische en financiële gevolgen van non-compliance zijn aanzienlijk.

Door nu al te investeren in risicobeheersing, training en certificering, kunnen bestuurders hun organisatie voorbereiden op de aankomende verplichtingen én hun eigen aansprakelijkheid beperken.

Veelgestelde vragen #

Wie is aansprakelijk onder NIS2? #

Bestuurders van zowel essentiële als belangrijke entiteiten zijn onder NIS2 persoonlijk aansprakelijk voor de naleving van cybersecuritymaatregelen binnen hun organisatie.

Wat zijn de boetes bij niet-naleving van NIS2? #

Bij niet-naleving kunnen boetes worden opgelegd, activiteiten worden stopgezet of bestuurders tijdelijk worden geschorst. Ook kan uw organisatie publiekelijk genoemd worden als niet-conform.

Welke maatregelen moeten bestuurders nemen? #

Bestuurders moeten risicobeheersmaatregelen goedkeuren, toezicht houden op implementatie en deelnemen aan cybersecuritytrainingen.