NIS2 Boardroom Training

Governance

NIS2 zorgplicht: wat moet bestuur en toezicht kunnen aantonen?

De NIS2 zorgplicht vraagt om een systematische beoordeling van risico’s, passende maatregelen en bestuurlijke sturing en interne beheersing die aantoonbaar is ingericht.

Wie zoekt op NIS2 zorgplicht, zoekt vaak naar een maatregellijst. Voor bestuur, directie, RvC en RvT is de kern echter breder: kan de organisatie aantonen dat zij haar digitale weerbaarheid gericht bestuurt, op basis van risico’s, afhankelijkheden en maatschappelijke impact?

De officiële lijn onder de Cyberbeveiligingswet is dat maatregelen passend en evenredig moeten zijn. Dat vraagt dus niet om een standaardpakket voor iedere organisatie, maar om een verdedigbare lijn van risicoanalyse naar maatregel, toetsing en bestuurlijke verantwoording.

De zorgplicht is een bestuurlijk sturingsvraagstuk

Het bestuur is eindverantwoordelijk voor het naleven van de zorgplicht. Dat betekent niet dat bestuurders technische specialisten moeten worden, maar wel dat zij moeten kunnen beoordelen of kritieke processen, netwerk- en informatiesystemen, leveranciers en restrisico’s voldoende in beeld zijn.

Voor de bestuurskamer draait zorgplicht daarom om eigenaarschap, prioritering, rapportage, toetsing en bijsturing. Zonder die bestuurlijke laag blijft cybersecurity te snel steken in losse operationele activiteiten.

De 10 zorgplichtmaatregelen als bestuurlijke kapstok

De Nederlandse uitwerking benoemt tien maatregelcategorieën. Voor de bestuurskamer zijn dat geen technische details, maar beoordelingspunten:

  1. risicoanalyse;
  2. personeel-, toegangs- en assetbeheer;
  3. bedrijfscontinuïteitsplanning;
  4. incident response;
  5. cyberhygiëne en bewustzijn;
  6. beleid voor netwerk- en informatiesystemen;
  7. beveiliging van de toeleveringsketen;
  8. beleid voor cryptografie en encryptie;
  9. meervoudige of anderszins sterke authenticatie;
  10. beoordeling van de effectiviteit van maatregelen.

All hazards: meer dan alleen cyberdreiging

De zorgplicht vraagt om een risicoanalyse vanuit een bredere all-hazards approach. Dat betekent dat de organisatie niet alleen kijkt naar malware, phishing of ransomware, maar ook naar fysieke verstoringen, uitval van voorzieningen, misbruik van rechten, fouten van leveranciers en incidenten in de fysieke omgeving van systemen.

Juist op bestuursniveau is dat relevant. Een storing in een datacenter, een hack bij een MSP of een uitval van gebouwgebonden techniek kan voor de continuïteit even ontwrichtend zijn als een klassieke cyberaanval.

Begin bij de belangrijkste te beschermen belangen

De aangeleverde Samen Digitaal Veilig-documentatie is op dit punt bruikbaar: zij maakt zichtbaar dat risico’s per sector anders uitwerken op financiële belangen, operationele continuïteit, veiligheid, reputatie, personeelsbelangen, strategische informatie, klantgegevens en gegevensbescherming. Voor een goede zorgplicht-invulling is het verstandig deze belangen bestuurlijk expliciet te prioriteren.

Wat aantoonbaar geregeld moet zijn

  • een actuele risicoanalyse op kritieke processen, systemen, data en afhankelijkheden;
  • bestuurlijk vastgesteld beleid en heldere rolverdeling;
  • maatregelen die aantoonbaar zijn gekoppeld aan risico en impact;
  • scenario’s voor continuïteit, incidentrespons en leveranciersuitval;
  • periodieke toetsing van effectiviteit, inclusief oefeningen, reviews en herijking;
  • begrijpelijke bestuurlijke rapportage, inclusief restrisico’s en openstaande keuzes.

Praktische eerste stap

Begin niet met een generieke toolset, maar met een bestuurlijke inventarisatie: welke belangen mogen niet worden geraakt, welke processen dragen die belangen, welke digitale afhankelijkheden horen daarbij en waar zitten de grootste leveranciersrisico’s? Daarmee ontstaat sneller grip dan met een lijst losse maatregelen.

Veelgestelde vragen over de NIS2 zorgplicht

Is de zorgplicht alleen technisch?

Nee. De uitwerking bevat technische, organisatorische en operationele maatregelen, maar de aansturing, prioritering en verantwoording zijn nadrukkelijk bestuurlijk.

Moet ieder risico volledig worden uitgesloten?

Het uitgangspunt is passende en evenredige risicobeheersing. Restrisico’s kunnen blijven bestaan, mits zij bewust zijn afgewogen en bestuurlijk zijn besproken.

Helpt ISO 27001 bij de zorgplicht?

Ja, een ISMS kan veel structuur geven. Het vervangt echter niet automatisch de specifieke bestuurlijke plichten onder de Cyberbeveiligingswet.

Volgende stap

Van zorgplicht naar bestuurlijke grip

Wilt u dit onderwerp vertalen naar uw eigen bestuur, RvC of RvT? Combineer de kennisbank met de NIS2 boardroom training of start met de NIS2 quickscan als eerste stap in governance, interne beheersing en bestuurlijke prioritering.

Lees voor de bestuurlijke vertaling ook de artikelen over te beschermen belangen en all hazards.