Nieuws
Bestuurders en NIS2: van papieren verantwoordelijkheid naar persoonlijke aansprakelijkheid
Gepubliceerd op 2 jul 2026
Onze mensen
De komst van de NIS2-richtlijn en de aankomende Cyberbeveiligingswet markeert een duidelijke verschuiving in de manier waarop organisaties naar cybersecurity moeten kijken. Waar cyberrisico’s lange tijd vooral werden belegd bij IT-afdelingen, komt de verantwoordelijkheid nadrukkelijk bij het bestuur te liggen. Dat is niet alleen een organisatorische verschuiving, maar ook een juridische.
De Cyberbeveiligingswet, waarmee de NIS2-richtlijn in Nederland wordt geïmplementeerd, nadert nu toch echt snel haar definitieve invoering. Op 15 april 2026 is het wetsvoorstel aangenomen door de Tweede Kamer en momenteel ligt het bij de Eerste Kamer. Naar verwachting stemt de Eerste Kamer op 7 juli 2026 over het wetsvoorstel en deze zal dan op 15 augustus 2026 in werking treden. Wat betekent dit voor bestuurders van organisaties die onder deze wetgeving vallen?
Geen nieuwe aansprakelijkheid, wel een nieuwe invulling
Op Europees niveau bepaalt NIS2 dat lidstaten ervoor moeten zorgen dat bestuurders aansprakelijk kunnen worden gesteld wanneer zij tekortschieten in het naleven van de cybersecurityverplichtingen. Op het eerste gezicht lijkt dat te wijzen op een nieuw aansprakelijkheidsregime. De Nederlandse wetgever kiest echter een andere route.
De Cyberbeveiligingswet introduceert geen nieuw aansprakelijkheidsregime op het gebied van bestuursrecht en handhaving, noch op het gebied van civielrechtelijke (bestuurders-)aansprakelijkheid. In plaats daarvan wordt aangesloten bij het bestaande bestuursrechtelijke en civielrechtelijke kader. Dit betekent dat kernbegrippen zoals ‘overtreding’ en ‘overtreder’ (art. 5:1 Algemene wet bestuursrecht (“Awb”) en bestaande handhavingsinstrumenten (zoals een bestuurlijke boete of last onder dwangsom) ongewijzigd blijven. Ook de grondslagen voor civiele bestuurdersaansprakelijkheid, zoals onder andere vastgelegd in artikel 2:9 van het Nederlands Burgerlijk Wetboek (“BW”), kunnen een rol spelen bij niet-naleving van de Cyberbeveiligingswet.
Het verschil zit dus niet in het juridische instrument, maar in de norm waarlangs wordt getoetst. Cybersecurity wordt onderdeel van wat van een redelijk handelend bestuurder mag worden verwacht. Daarmee wordt het nalaten van adequate cybersecuritymaatregelen potentieel ook een reden van aansprakelijkheid.
De verantwoordelijkheid ligt bij het bestuur
De verplichtingen uit de Cyberbeveiligingswet richten zich in de kern tot het bestuur van de organisatie. Het gaat daarbij om de “management body”: het dagelijks bestuur en de uitvoerende bestuurders. Toezichthoudende organen, zoals de raad van commissarissen, vallen in beginsel buiten deze directe verplichtingen.
Dit neemt niet weg dat de impact aanzienlijk is. Zo maakt de Cyberbeveiligingswet het mogelijk om individuele bestuurders bestuursrechtelijk te sanctioneren, onder meer bij niet-naleving van de opleidingsverplichtingen op het gebied van cyberbeveiliging (zie ook hierna). Dit betekent dat een last onder dwangsom of een bestuurlijke boete direct aan een individueel bestuurslid kan worden opgelegd. In ernstige gevallen van niet-naleving van de wet kan een toezichthouder zelfs de civiele rechter verzoeken om bestuurders te schorsen. Bovendien blijkt uit de toelichting dat handhaving zich niet beperkt tot formele bestuurders. Zo kan bij overtredingen onder omstandigheden ook handhavend worden opgetreden tegen feitelijk leidinggevenden of opdrachtgevers.
Indien een bestuurder nalaat te voldoen aan de verplichtingen van de Cyberbeveiligingswet (zoals het nemen van beveiligingsmaatregelen) en dit leidt tot schade voor de rechtspersoon, kan een bestuurder mogelijk ook civielrechtelijk aansprakelijk zijn op grond van onbehoorlijk bestuur (artikel 2:9 BW). Ook is denkbaar dat een bestuurder aansprakelijk kan zijn tegenover derden (artikel 6:162 BW). De verwachting is dat jurisprudentie zich op dit punt zal ontwikkelen na inwerkingtreding van de wet.
Opleidingsplicht: bestuurders moeten cybersecurity begrijpen
Een van de meest concrete verplichtingen die uit de Cyberbeveiligingswet voortvloeit, is de opleidingsplicht voor bestuurders. Ieder bestuurslid moet beschikken over voldoende kennis en vaardigheden op het gebied van cybersecurity. Dat is geen eenmalige exercitie, maar een doorlopende verplichting.
De wet schrijft niet voor welke concrete opleiding gevolgd moet worden, maar stelt wel eisen aan de inhoud. Bestuurders moeten in staat zijn cyberrisico’s te herkennen, passende beveiligingsmaatregelen te beoordelen en de impact van incidenten op de continuïteit van de organisatie te begrijpen. Dat vraagt om meer dan algemene bewustwording, het gaat om bestuurlijk kunnen toepassen.
In de praktijk kan worden gedacht aan executive trainingen, riskmanagementprogramma’s of boardroom simulaties. Essentieel is dat deze trainingen aantoonbaar de relevante thema’s behandelen en worden afgesloten met een certificaat. Dat certificaat fungeert als bewijs dat aan de opleidingsverplichting is voldaan.
Voor nieuwe bestuurders geldt dat zij binnen twee jaar na benoeming aan deze verplichting moeten voldoen. Voor zittende bestuurders loopt een vergelijkbare termijn vanaf het moment dat de wet in werking treedt. Tegelijkertijd geldt vanaf dat moment al de verplichting om voldoende kennis te hebben. Bestuurders zullen dus moeten kunnen aantonen dat zij ook vóór het behalen van een (nieuw) certificaat al over de benodigde kennis beschikten.
Meer dan alleen een opleidingsplicht
De verplichtingen voor bestuurders gaan echter verder dan het volgen van een training. Van hen wordt een actieve rol verwacht bij de inrichting en het toezicht op cybersecurity binnen de organisatie.
Dat begint bij het goedkeuren van de te nemen cybermaatregelen. Bestuurders mogen zich daarbij niet beperken tot een formele handtekening; zij moeten zich daadwerkelijk verdiepen in de inhoud en een zelfstandig oordeel vormen. Vervolgens moeten zij ook toezien op de implementatie en werking van die (beveiligings)maatregelen. Dit impliceert dat cybersecurity een vast onderdeel wordt van governance en risicobeheersing.
Daarnaast moeten bestuurders in staat zijn om cyberrisico’s te duiden en deze te plaatsen in de bredere context van de organisatie. Wat betekent een bepaald risico voor de continuïteit van dienstverlening? Welke prioriteiten stel je? Welke investeringen zijn nodig? Dat zijn vragen die nadrukkelijk op bestuursniveau thuishoren.
Tot slot draagt het bestuur een voorbeeldfunctie. Dit betekent dat zij het belang van cybersecurity zichtbaar uitdragen, investeren in bewustwording onder de medewerkers en ervoor zorgen dat ook andere medewerkers voldoende worden getraind.
Wat betekent dit voor de praktijk?
Hoewel de Cyberbeveiligingswet nog niet in werking is getreden, is afwachten geen optie. Enerzijds omdat organisaties zich nu al zullen moeten voorbereiden op nieuwe verplichtingen. Anderzijds omdat recente cyberincidenten bij onder meer Odido, ChipSoft, Basic-Fit, Rituals, Hallmark en Booking.com laten zien dat cyberdreigingen een groot risico vormen voor alle organisaties.
Van bestuurders wordt dan ook verwacht dat zij zich actief verdiepen in cybersecurity, over de juiste kennis beschikken en daadwerkelijk sturen op de beheersing van cyberrisico’s. Dat begint met het structureel agenderen van cybersecurity op de bestuursagenda en het verkrijgen van inzicht in de specifieke risico’s van de organisatie. Een risicogebaseerde aanpak staat daarbij centraal: maatregelen moeten aansluiten bij de feitelijke dreigingen. Daarnaast is het belangrijk om te zorgen voor heldere rapportages over cyberrisico’s en incidenten. In de praktijk kan dat betekenen dat de rol van bijvoorbeeld een CISO wordt versterkt of explicieter wordt ingericht. Ook is het verstandig om te kijken naar bestaande verzekeringen voor bestuurdersaansprakelijkheid en na te gaan in hoeverre deze dekking bieden voor cybergerelateerde risico’s.
Heeft u vragen over cybersecurity en bestuurdersaansprakelijkheid? Neem dan gerust contact met ons op.
Onze mensen
Heeft u vragen of wilt u een afspraak maken?
Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.