Zoekopdrachten als NIS2 bestuurdersaansprakelijkheid en NIS2 bestuurlijke aansprakelijkheid worden vaak gevoed door onrust. Begrijpelijk, maar onvolledig. De echte vraag is niet alleen of bestuurders aansprakelijk kunnen worden gesteld, maar vooral of zij kunnen aantonen dat zij cyberrisico’s serieus hebben beoordeeld, maatregelen hebben goedgekeurd en toezicht hebben georganiseerd.
Daarmee verschuift de discussie van bangmakerij naar governance. NIS2 maakt cyberweerbaarheid nadrukkelijk een bestuurlijk onderwerp. Wie zijn rol serieus invult, verkleint niet alleen het risico op incidenten, maar ook het risico op verwijtbaarheid achteraf.
Waar de bestuurlijke scherpte zit
De richtlijn verlangt dat bestuurders passende maatregelen goedkeuren en toezicht houden op de uitvoering. Daarnaast moeten zij training volgen, zodat zij risico’s en cyberbeveiligingspraktijken kunnen beoordelen. Dat is wezenlijk anders dan een situatie waarin cyberveiligheid alleen als technisch domein wordt gezien.
Voor raden van commissarissen en raden van toezicht geldt iets vergelijkbaars: niet zelf operationeel sturen, maar wel relevante vragen stellen, rapportages begrijpen en doorvragen als risico’s of afhankelijkheden onvoldoende helder zijn.
Wat bestuurders wél en niet hoeven te kunnen
Bestuurders hoeven geen CISO of security-architect te worden. Zij moeten wel kunnen beoordelen of de organisatie grip heeft op haar kroonjuwelen, kritieke processen, leveranciers en incidentrespons. Dat betekent bijvoorbeeld dat zij moeten snappen waar uitval de continuïteit raakt, hoe meldplicht werkt en waar externe afhankelijkheden concentratierisico opleveren.
Goede bestuurlijke sturing en interne beheersing draait dus om de kwaliteit van vragen, prioritering en opvolging. Niet om technische detailkennis als doel op zich.
Wanneer wordt verwijtbaarheid aannemelijker?
Verwijtbaarheid wordt eerder voorstelbaar als cyberrisico’s structureel zijn genegeerd, als er geen bestuurlijke agendering was, als waarschuwingen niet zijn opgevolgd of als de organisatie geen aantoonbare lijn heeft van risico naar maatregel en toezicht. Het gaat dan minder om het enkele feit dat een incident plaatsvindt en meer om de kwaliteit van voorbereiding en bestuur.
Juist daarom is training van bestuurders relevant. Zonder basisbegrip wordt het moeilijk om te beoordelen of de organisatie daadwerkelijk op koers ligt.
Hoe bestuurders het risico beheersbaar houden
- agendeer cyberweerbaarheid periodiek in bestuur en toezicht;
- vraag om rapportages in begrijpelijke taal, inclusief restrisico’s en uitzonderingen;
- laat kritieke leveranciers, incidentscenario’s en continuïteitsafhankelijkheden expliciet terugkomen;
- organiseer training zodat bestuurders risico’s en maatregelen inhoudelijk kunnen beoordelen;
- leg besluiten, prioriteiten en opvolging aantoonbaar vast.
De praktische les voor bestuur, auditcommissie, RvC of RvT
Bestuurlijke aansprakelijkheid wordt kleiner als de organisatie een verdedigbaar verhaal heeft. Niet omdat ieder risico verdwijnt, maar omdat zichtbaar is dat bestuur en toezicht hun rol hebben gepakt. Een NIS2 boardroom training of quickscan helpt vaak om dat verhaal concreet te maken.
Veelgestelde vragen over NIS2 bestuurdersaansprakelijkheid
Moeten bestuurders technische experts zijn?
Nee. Zij moeten risico’s en maatregelen kunnen beoordelen, prioriteren en opvolgen, maar hoeven geen operationele specialisten te worden.
Gaat het alleen over boetes?
Nee. De kern zit breder: continuïteit, bestuurlijke verwijtbaarheid, toezicht en de vraag of besluiten aantoonbaar zijn genomen.
Helpt training echt?
Ja. Training geeft bestuurders taal, context en scherpte om relevante risico’s en maatregelen beter te kunnen beoordelen.
Volgende stap
Van kennis naar gesprek
Wilt u dit onderwerp vertalen naar uw eigen bestuur, RvC of RvT? Combineer de kennisbank met de NIS2 boardroom training of start met de NIS2 quickscan als eerste stap in governance, interne beheersing en bestuurlijke prioritering.