NIS2-aansprakelijkheid voor bestuurders

NIS2 verschuift cyberveiligheid van de IT-afdeling naar het bestuur. De richtlijn (EU) 2022/2555 maakt in artikel 20 expliciet dat het bestuursorgaan van een essentiële of belangrijke entiteit de cyberbeveiligingsmaatregelen zelf goedkeurt, toezicht houdt op de uitvoering, en zich aantoonbaar bijschoolt. Artikel 32 geeft toezichthouders het instrumentarium om dat af te dwingen, tot en met de tijdelijke onbevoegdverklaring van een leidinggevende bij essentiële entiteiten. Voor jou als bestuurder is dit niet langer een rapport van je CISO dat je voor kennisgeving aanneemt. Het is een handeling waar je naam onder staat.

Waarom NIS2 de bestuurder zelf adresseert

De Europese wetgever heeft een keuze gemaakt die in eerdere richtlijnen ontbrak. NIS1 stelde eisen aan organisaties, niet aan personen. NIS2 doet dat wel. In de overwegingen bij de richtlijn staat dat een cultuur van risicobeheer alleen ontstaat als het bestuursorgaan zich er persoonlijk over uitspreekt. De wetgever heeft die overweging vertaald in twee operationele artikelen: artikel 20 over governance, en artikel 32 over toezicht en handhaving. Beide werken één kant op: ze leggen verantwoording bij benoemde personen, niet bij een functietitel of een afdeling.

Voor de Nederlandse implementatie is dit op 1 december 2025 in werking getreden via de Cyberbeveiligingswet. De Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders zoals DNB en de AT zijn aangewezen om de naleving te toetsen. Het NCSC heeft op zijn website een set publicaties over wat bestuurders concreet aantoonbaar moeten kunnen laten zien. Wie van die publicaties één lijn doortrekt naar de bestuurskamer, ziet dat het toezicht zich niet meer richt op het bestaan van beleid, maar op het bewijs dat het bestuur dat beleid kent, weegt en stuurt.

Voor wie geldt artikel 20 precies

NIS2 onderscheidt twee categorieën. Essentiële entiteiten zijn organisaties in sectoren die de richtlijn als kritiek aanmerkt en die boven een omvangsdrempel uitkomen: energie, transport, banken, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid en ruimtevaart. Belangrijke entiteiten zijn organisaties in een tweede ring van sectoren, waaronder post, afvalbeheer, chemie, voedsel, productie van bepaalde goederen, digitale aanbieders en onderzoek. Beide categorieën vallen onder artikel 20. Het verschil tussen essentieel en belangrijk zit niet in of het bestuur verantwoordelijk is, maar in hoe scherp het toezicht is en welke sancties beschikbaar zijn.

Voor jou als bestuurder betekent dit drie dingen. Je weet of jouw entiteit essentieel of belangrijk is, of je weet het niet. Als je het niet weet, is dat zelf al een tekortkoming in de governance. Je weet welke entiteiten in de groep onder welke categorie vallen, of je laat dat per dochter uitzoeken. En je weet welke toezichthouder voor welke entiteit het aanspreekpunt is, want bij een incident bel je geen algemeen nummer.

Wat artikel 20 concreet van het bestuur vraagt

De richtlijn benoemt vier bestuurlijke plichten. Ze klinken bureaucratisch, maar ze leiden tot heel concrete vragen die een toezichthouder of een advocaat van een gedupeerde partij later kan stellen.

Goedkeuren van de cyberbeveiligingsmaatregelen. Het bestuur keurt het samenhangende pakket aan risicobeheersmaatregelen formeel goed. Niet de CISO, niet de CIO. Het bestuur. Een goedkeuring zonder onderbouwing is geen goedkeuring, ze is een handtekening onder een document dat het bestuur niet kan navertellen.

Toezicht houden op de implementatie. Het bestuur volgt de uitvoering met een vaste cadans en heeft een verslag dat aantoont dat het toezicht plaatsvindt. Bestuursnotulen die elke kwartaal een agendapunt cyberveiligheid noemen zonder dat er een besluit op staat, dragen dat toezicht niet.

Aansprakelijkheid dragen voor de naleving. De richtlijn benoemt dat leden van het bestuursorgaan aansprakelijk kunnen worden gesteld voor inbreuken die voortkomen uit een tekortschietende naleving van artikel 21. Dit is geen vertaling van een algemeen vennootschapsrechtelijk principe naar cyber, het is een eigen aansprakelijkheidsroute die de richtlijn zelf creëert.

Bijscholen op cyberveiligheid. Bestuursleden volgen regelmatig training om zelf risico's te kunnen beoordelen en de kwaliteit van het advies van de CISO te kunnen wegen. Een bestuurslid dat een SOC-rapport krijgt en geen idee heeft welke vraag erbij gesteld moet worden, vult dit punt niet in. De richtlijn vraagt om opleiding die in verhouding staat tot de complexiteit van de entiteit, niet om een uurtje voorlichting per jaar.

Deze vier plichten lopen door elke vergadering waarin cyberveiligheid wordt besproken. Een toezichthouder die toetst, kijkt naar de notulen, naar de stukken die het bestuur heeft gekregen, naar de vragen die zijn gesteld en naar wat het bestuur daarna heeft besloten. Een goedkeuring zonder een spoor van weging is zwakker dan een afkeuring met onderbouwing.

Wat kan een bestuurder persoonlijk overkomen

Artikel 32 geeft toezichthouders een lijst handhavingsbevoegdheden. De meeste daarvan richten zich op de entiteit: instructies, audits, bindende aanwijzingen, bestuurlijke boetes. Voor essentiële entiteiten gaat de richtlijn verder. Bij ernstige en herhaaldelijke tekortkomingen kan een toezichthouder tijdelijk verbieden dat een specifieke leidinggevende een leidinggevende functie blijft uitoefenen in die entiteit. Dat is geen boete, dat is een tijdelijke beroepsuitoefeningsbeperking met de naam van een individu erop. De richtlijn maakt deze maatregel niet automatisch beschikbaar voor belangrijke entiteiten, maar wie als belangrijke entiteit een ernstig incident heeft, kan onder algemene bestuurdersaansprakelijkheid van het Nederlandse vennootschapsrecht alsnog persoonlijk worden aangesproken. De NIS2-route is een aanvulling op de bestaande civielrechtelijke route, geen vervanging.

Op het niveau van de entiteit benoemt de richtlijn maximumboetes. Voor essentiële entiteiten is dat een bedrag dat in elk geval ten minste tien miljoen euro of twee procent van de wereldwijde jaaromzet bedraagt, naar gelang van wat hoger is. Voor belangrijke entiteiten ten minste zeven miljoen euro of anderhalf procent. De richtlijn schrijft een minimumplafond aan de lidstaten voor; de Nederlandse implementatie kan die plafonds hoger leggen, en zal in handhavingspraktijk een afweging maken op aard, duur, herhaling en samenwerkingsgedrag. Voor jou als bestuurder is het exacte bedrag minder belangrijk dan het mechanisme: het bedrag landt bij de entiteit, de reputatieschade ook bij de namen die in de governance staan.

Een derde dimensie is fiduciair. NIS2 raakt de zorgvuldigheidsplicht van een bestuurder onder Boek 2 Burgerlijk Wetboek. Als een bestuur de plichten uit artikel 20 niet vervult en er volgt een incident met materiële schade, kan een aandeelhouder of curator de individuele bestuurder aanspreken op onbehoorlijk bestuur. De NIS2-richtlijn levert in zo'n procedure het toetsingskader: heeft het bestuur de risicobeheersmaatregelen goedgekeurd, was er toezicht, was er opleiding. Een bestuur dat hier nul kan aanwijzen, heeft een zwakke positie.

De originele framing: aansprakelijkheid als prikkel voor echte governance

In de adviespraktijk hoor je nu twee reacties op NIS2. De eerste is een compliance-reflex: laten we de artikelen vertalen in een checklist, een tab in het GRC-systeem en een jaarlijks vinkmoment. De tweede is een afweerreflex: laten we de aansprakelijkheid via D&O-verzekering en disclaimers in bestuursverklaringen wegmodelleren. Beide reacties missen de prikkel die de wetgever heeft ingebouwd.

Artikel 20 is geen vinkjeslijst. Het is een uitnodiging om cyberveiligheid op de plek te leggen waar in een goed bestuurde organisatie elk materieel risico al hoort: bij het bestuur dat het mandaat heeft om er iets aan te doen. De aansprakelijkheidsroute van artikel 32 is geen straf voor wie pech heeft, het is een prikkel voor wie de governance nog niet op orde heeft om dat alsnog te doen. Wie het zo benadert, gebruikt NIS2 als hefboom om beslissingen door te zetten die in goede besturen vanzelfsprekend zouden zijn: het rapport van de CISO wordt een agendapunt met een besluit, de opleiding van bestuurders krijgt een eigen budget, de toezichtcadans krijgt een eigen ritme.

Een bestuur dat dit doet, verliest geen tijd aan een papieren compliance-laag. Het bouwt aan dezelfde kant van de tafel als zijn CISO en wint de positie om bij een incident te kunnen aantonen dat de organisatie wist wat ze deed. Dat is goedkoper dan de boete en sneller dan de procedure.

Wat jij als bestuurder de komende drie maanden vastlegt

De Nederlandse implementatie loopt sinds december 2025. De handhaving wordt in 2026 geleidelijk steviger. Drie acties laten zich nu vastleggen, zonder dat je een groot programma hoeft op te tuigen.

Eén, leg vast onder welke categorie elke entiteit in de groep valt en welke toezichthouder het aanspreekpunt is. Wie dat niet snel kan beantwoorden, heeft hier prioriteit. Twee, neem het pakket cyberbeveiligingsmaatregelen op een vaste plek op de bestuursagenda met een besluit erbij, niet alleen een toelichting. Een goedkeuring zonder besluit is in de notulen niet terug te vinden, en wat niet in de notulen staat, heeft formeel niet plaatsgevonden. Drie, plan een opleidingsmoment voor het bestuur dat verder gaat dan een algemene update. Een sessie met je CISO over de drie scenario's die jouw organisatie het hardst raken, met de vragen die je daarbij als bestuur stelt, vult artikel 20 lid 2 concreter dan een generieke webinar.

Deze drie acties bouwen samen het dossier dat je later nodig hebt als een toezichthouder of een aandeelhouder vraagt wat het bestuur heeft gedaan. Het dossier is de bescherming, niet de verzekering.