Bestuurders worden straks persoonlijk aansprakelijk voor gebrekkige cyberbeveiliging.
De Cyberbeveiligingswet treedt naar verwachting eind 2026 in werking. Organisaties in achttien sectoren moeten dan aantoonbaar in control zijn. Boetes lopen op tot 10 miljoen euro of 2% van de wereldwijde omzet. De overgangsperiode is voorbij.
Wie nu nog niet bezig is met risicoanalyse, incidentprocedures en toeleveringsketenbeveiliging, loopt achter op wetgeving die straks direct van kracht is.
1. NIS2 wordt Nederlandse wet
De NIS2-richtlijn verplicht organisaties in achttien sectoren om concrete cybersecuritymaatregelen te nemen. Nederland implementeert deze Europese regelgeving via de Cyberbeveiligingswet, die naar verwachting eind 2026 in werking treedt.
Waarom NIS2 er komt
De eerste NIS-richtlijn uit 2016 faalde. Het toepassingsbereik was te smal. Verplichtingen bleven vaag. Toezicht varieerde te veel tussen EU-lidstaten. De Europese Commissie concludeerde dat kritieke infrastructuur onvoldoende beschermd werd.
NIS2 pakt deze gebreken aan. Het bereik is drastisch uitgebreid – van een handvol sectoren naar achttien. Maatregelen zijn concreter beschreven. Toezicht wordt geharmoniseerd over alle lidstaten. Sancties zijn verhoogd tot niveaus die pijn doen.
Van Wbni naar Cyberbeveiligingswet
Nederland had de eerste NIS-richtlijn geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen (Wbni). Die wet verdwijnt. De Cyberbeveiligingswet vervangt deze volledig en gaat aanzienlijk verder.
Het verschil zit in de schaal. Waar de Wbni een select groep organisaties aanwees, moet nu een veelvoud aan bedrijven zelf beoordelen of ze binnen scope vallen. Dat brengt een cultuuromslag met zich mee – van aangewezen worden naar zelfbeoordeling en registratie.
De wet wordt uitgewerkt in een Cyberbeveiligingsbesluit (AMvB) en ministeriële regelingen. Deze subsidiaire regelgeving bevat sectorspecifieke eisen, meldingsformats en technische specificaties. Organisaties moeten dus meerdere documenten volgen.
Timing en inwerkingtreding
De NIS2-richtlijn trad op 16 januari 2023 in werking. Lidstaten kregen tot 17 oktober 2024 om te implementeren. Nederland haalde die deadline niet – een bewuste keuze om de wet beter uit te werken.
De Tweede Kamer heeft het wetsvoorstel inmiddels aangenomen. De Eerste Kamer behandelt het nu. Verwachte inwerkingtreding is eind 2026. Zodra de wet in werking treedt, gelden alle verplichtingen onmiddellijk. Er is geen aanvullende overgangstermijn.
Dat betekent concreet: organisaties die zich niet voorbereiden, krijgen bij inwerkingtreding direct te maken met registratieplicht, meldplicht en zorgplicht. Toezichthouders kunnen direct handhaven. De klok tikt.
Veel breder toepassingsbereik
Het grote verschil met de oude Wbni zit in het aantal organisaties dat getroffen wordt. Achttien sectoren vallen onder de wet – van energie, transport en gezondheidszorg tot post, chemie en digitale dienstverleners.
Middelgrote en grote organisaties in deze sectoren vallen binnen scope. De grens ligt bij 50 medewerkers of 10 miljoen euro omzet (afhankelijk van de sector). Bepaalde partijen vallen altijd onder de wet – DNS-dienstverleners, TLD-registrars, vertrouwensdienstverleners en aanbieders van openbare elektronische communicatienetwerken.
De verantwoordelijkheid om vast te stellen of een organisatie binnen scope valt, ligt bij die organisatie zelf. Geen brief van de overheid meer die dit meldt. Dat vereist een grondige analyse van hoofd- en nevenwerkzaamheden. Een productiebedrijf met een klein transport-onderdeel kan opeens verplicht zijn.
2. Wie moet aan de slag
Organisaties moeten zelf vaststellen of ze onder de Cyberbeveiligingswet vallen. Die zelfbeoordeling vraagt om een grondige inventarisatie van werkzaamheden en sectoren waarin een organisatie actief is.
Achttien sectoren in beeld
De wet onderscheidt achttien sectoren die als kritiek worden beschouwd. Energie, transport, bankwezen, infrastructuur voor financiële markten, gezondheidszorg, drinkwater, afvalwater en digitale infrastructuur vallen hieronder. Ook ruimtevaart, overheid en ICT-dienstverlening (B2B) horen erbij.
Daarnaast komen sectoren aan bod die voorheen buiten scope vielen. Post- en koeriersdiensten, afvalstoffenbeheer, chemische industrie, levensmiddelenindustrie en producerende industrie zijn nu verplicht. Digitale dienstverleners – cloudproviders, datacenters, contentleveringsnetwerken – moeten zich voorbereiden. Onderzoeksinstellingen die bepaalde criteria halen, vallen ook binnen bereik.
De breedte is opvallend. Een middelgroot afvalverwerkingsbedrijf zit ineens in hetzelfde wettelijk kader als een energieleverancier. Het verschil zit in de classificatie als essentieel of belangrijk.
Essentieel versus belangrijk
De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Dat onderscheid heeft directe gevolgen voor toezicht, boetes en sanctiemogelijkheden.
Essentiële entiteiten zijn organisaties waarvan een verstoring majeure maatschappelijke ontwrichting veroorzaakt. Denk aan ziekenhuizen, drinkwaterbedrijven, energienetbeheerders, banken en overheidsdiensten. Voor deze groep gelden de strengste eisen. Toezichthouders kunnen verder ingrijpen. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet – wat het hoogst is. Bij ernstige nalatigheid kunnen bestuurders tijdelijk geschorst worden.
Belangrijke entiteiten zijn organisaties die wel impact hebben bij uitval, maar waarvan de maatschappelijke schade beperkter blijft. Post- en koeriersdiensten, afvalbedrijven, chemische industrie en levensmiddelenproducenten vallen vaak in deze categorie. Sancties zijn lager – maximaal 7 miljoen euro of 1,4% van de wereldwijde omzet. Toezicht is minder intensief, maar de verplichtingen blijven vergaand.
Omvang bepaalt mee
Niet elke organisatie in deze sectoren valt automatisch onder de wet. Omvang speelt een rol. Middelgrote en grote ondernemingen komen binnen scope. De grens varieert per sector, maar ligt vaak bij 50 medewerkers én 10 miljoen euro omzet, of 250 medewerkers én 50 miljoen euro omzet.
Kleine bedrijven vallen in principe buiten scope – tenzij ze kritieke diensten leveren. Een klein DNS-bedrijf met twintig medewerkers valt wél onder de wet, omdat DNS-diensten altijd verplicht zijn ongeacht bedrijfsomvang.
Aanbieder van openbare elektronische communicatienetwerken? Dan valt de organisatie binnen scope, ongeacht grootte. Vertrouwensdienstverlener volgens de eIDAS-verordening? Ook dan geldt de wet direct. TLD-registrars vallen er altijd onder.
Zelfbeoordeling verplicht
Hier zit de grote omslag. Organisaties moeten zelf concluderen of ze binnen bereik vallen en zich vervolgens registreren bij het NCSC (Nationaal Cyber Security Centrum).
Niemand stuurt een brief. Geen officiële mededeling dat je onder NIS2 valt.
Die zelfbeoordeling vereist een grondige analyse. Welke diensten levert de organisatie? In welke sectoren is ze actief? Voldoet ze aan de omvangscriteria? Zijn er nevenwerkzaamheden die onder een kritieke sector vallen?
Een productiebedrijf dat chemische grondstoffen maakt én een klein transportonderdeel heeft, moet beide sectoren beoordelen. Een ICT-dienstverlener die zowel aan consumenten als aan bedrijven levert, moet kijken of het B2B-deel groot genoeg is om verplicht te worden.
Registratie bij het NCSC is verplicht zodra blijkt dat de organisatie binnen scope valt. Wie zich niet registreert terwijl dat wel moet, riskeert sancties. Toezichthouders kunnen ambtshalve vaststellen dat een organisatie verplicht is – en dan met terugwerkende kracht handhaven
3. Drie verplichtingen die tellen
De Cyberbeveiligingswet legt drie kernverplichtingen op:
- zorgplicht,
- meldplicht
- registratieplicht
Deze verplichtingen maken cybersecurity meetbaar, controleerbaar en juridisch afdwingbaar.
Zorgplicht: ken je risico’s
De zorgplicht begint bij inzicht. Organisaties moeten weten welke risico’s ze lopen. Dat vereist een structurele risicoanalyse – niet eenmalig, maar continu.
Welke systemen zijn kritiek voor dienstverlening? Wat gebeurt er bij uitval? Welke data verwerkt de organisatie en hoe gevoelig is die informatie? Welke dreigingen zijn relevant: ransomware, DDoS-aanvallen, datalekken? Deze vragen moeten beantwoord worden voordat maatregelen genomen kunnen worden.
De wet verplicht beleid voor risicoanalyse en beveiliging van informatiesystemen. Dat beleid moet goedgekeurd worden door het bestuur. Risicoanalyse is geen IT-taak meer, maar een strategische verantwoordelijkheid die op directieniveau hoort.
Toeleveringsketen maakt deel uit van die risicoanalyse. Welke leveranciers zijn kritiek? Wat zijn de risico’s bij uitval van een cloudprovider? Hoe afhankelijk is de organisatie van specifieke dienstverleners? Die vragen horen bij het in kaart brengen van risico’s.
Documentatie is verplicht. Toezichthouders kunnen vragen om inzage in risicoanalyses, dreigingsprofielen en prioritering van maatregelen. “We hebben het wel gedaan maar niet opgeschreven” volstaat niet.
Zorgplicht: basismaatregelen op orde
Risico’s kennen is niet genoeg. De wet verplicht passende en evenredige maatregelen om die risico’s te beheersen. Wat passend is, hangt af van de organisatie, maar bepaalde basismaatregelen zijn altijd verplicht.
Cryptografie en encryptie staan expliciet in de wet. Gevoelige data moet versleuteld worden, zowel in opslag als tijdens transport. Multifactorauthenticatie is verplicht voor kritieke systemen: wachtwoorden alleen volstaan niet meer.
Toegangsbeheer moet geregeld zijn. Wie heeft toegang tot welke systemen? Zijn beheerdersrechten gescheiden van normale gebruikersaccounts? Worden toegangsrechten periodiek gecontroleerd? Een actuele matrix van wie waartoe toegang heeft, is geen luxe maar verplichting.
Back-ups en herstel krijgen expliciet aandacht. Back-ups maken is niet genoeg – herstelprocedures moeten getest worden. Kan de organisatie binnen acceptabele tijd herstellen na een ransomware-aanval? Zijn back-ups offline of anderszins beschermd tegen aanvallers?
Patchmanagement en kwetsbaarheidenbeheer horen bij basishygiëne. Kritieke kwetsbaarheden moeten binnen acceptabele termijnen verholpen worden. Oude systemen die niet meer gepatcht kunnen worden, vormen een risico dat gemitigeerd moet worden.
Awareness en training zijn verplicht. Niet alleen IT-medewerkers, maar iedereen die met systemen werkt moet opgeleid worden. Phishing-simulaties, wachtwoordhygiëne, omgang met gevoelige data zijn onderwerpen die structureel aandacht moeten krijgen.
Leveranciers vallen ook onder de zorgplicht. Contracten moeten beveiligingseisen bevatten. Hoe garandeert een cloudprovider beschikbaarheid? Welke incidentmeldingstermijnen hanteert een IT-dienstverlener? Worden subdienstverleners gecontroleerd?
Deze afspraken moeten vastgelegd en periodiek geëvalueerd worden.
Meldplicht: incidenten direct opvolgen
De meldplicht werkt getrapt met strakke deadlines. Binnen 24 uur na kennisname van een significant incident moet een vroegtijdige waarschuwing naar de toezichthouder. Die eerste melding hoeft nog niet compleet te zijn. Het gaat om signalering.
Binnen 72 uur volgt de incidentmelding met een eerste beoordeling. Nu moeten details bekend zijn: oorzaak, omvang, getroffen diensten, aantal gedupeerden. Ook de eerste maatregelen die genomen zijn, horen in deze melding.
Binnen één maand moet een eindverslag ingediend worden. Volledige analyse, definitieve impact, herstelmaatregelen en lessons learned. Dit verslag vormt de basis voor eventueel vervolgonderzoek door de toezichthouder.
Niet elk incident valt onder de meldplicht. De wet spreekt over significante incidenten: gebeurtenissen die impact hebben op dienstverlening, veiligheid of continuïteit. Een mislukte phishingpoging zonder systeemtoegang hoeft niet gemeld. Een ransomware-aanval die productie platgooit, wel.
Die termijnen vereisen voorbereiding. Organisaties moeten procedures hebben om binnen uren te bepalen of iets een meldplichtig incident is. Contactgegevens van toezichthouders moeten bekend zijn. Escalatielijnen moeten helder zijn. Wie belt wie bij een incident op zondagnacht?
Registratie: NCSC moet je kennen
De registratieplicht is nieuw. Alle organisaties binnen scope moeten zich melden bij het NCSC (Nationaal Cyber Security Centrum). Die registratie gebeurt via een digitaal portaal met basisgegevens: naam, sector, contactgegevens van de security officer, beschrijving van diensten.
Registratie is geen eenmalige actie. Bij wijzigingen moet de registratie geactualiseerd worden. Een bedrijf dat van sector verandert of andere diensten gaat leveren, moet dat melden. Jaarlijks moet bevestigd worden dat gegevens nog kloppen.
Wie zich niet registreert terwijl dat wel moet, riskeert sancties. Toezichthouders kunnen ambtshalve vaststellen dat een organisatie verplicht is en dan met terugwerkende kracht handhaven.
De boodschap is helder: zelfbeoordeling betekent ook zelfregistratie.
4. Bestuurders in de hoofdrol
Cybersecurity wordt met de Cyberbeveiligingswet expliciet een bestuursverantwoordelijkheid. Bestuurders kunnen niet meer volstaan met “dat regelt IT wel”. Ze worden persoonlijk aansprakelijk voor nalatigheid.
Formele goedkeuring verplicht
Artikel 24 van de Cyberbeveiligingswet verplicht het bestuur om cyberbeveiligingsmaatregelen formeel goed te keuren. Dat betekent concreet: risicobeheersmaatregelen moeten als agendapunt op de bestuursvergadering komen. Het bestuur moet expliciet instemmen met het voorgestelde beleid.
Die goedkeuring kan niet pro forma. Bestuurders moeten begrijpen wat ze goedkeuren. Welke risico’s zijn geïdentificeerd? Waarom zijn bepaalde maatregelen gekozen en andere niet? Wat kost implementatie en wat zijn de gevolgen bij niet-implementeren?
Toezicht houden op uitvoering is de tweede verplichting. Goedkeuring geven is niet genoeg. Het bestuur moet controleren of maatregelen daadwerkelijk geïmplementeerd worden. Zijn de afgesproken back-upprocedures ingericht? Worden awareness-trainingen uitgevoerd? Is multifactorauthenticatie uitgerold?
Dat toezicht vereist rapportage. De security officer of CISO moet periodiek aan het bestuur rapporteren over de stand van zaken. Welke maatregelen zijn afgerond? Waar lopen we achter? Welke nieuwe risico’s zijn geïdentificeerd? Die rapportages moeten gedocumenteerd worden en toezichthouders kunnen erom vragen.
Opleidingsplicht voor bestuurders
Artikel 24 lid 2 tot en met 6 verplicht bestuurders een opleiding te volgen. Die opleiding moet voldoende kennis en vaardigheden opleveren om cyberbeveiligingsrisico’s te identificeren en beheersmaatregelen te beoordelen.
Wat “voldoende” is, blijft open voor interpretatie. Een eendaagse cursus volstaat waarschijnlijk niet. Bestuurders moeten in staat zijn om op strategisch niveau mee te praten over cybersecurity. Wat is het verschil tussen een DDoS-aanval en ransomware? Waarom is segmentatie van netwerken belangrijk? Hoe werkt multifactorauthenticatie?
Die opleidingsplicht geldt voor alle leden van het bestuursorgaan. Een directeur die niet technisch is, kan zich niet verschuilen achter “ik ben geen IT’er”. De wet maakt geen onderscheid – iedereen in het bestuur moet opgeleid worden.
Frequentie wordt niet genoemd in de wet. Cyberdreigingen evolueren snel. Een opleiding uit 2024 is in 2027 verouderd. Logische verwachting is dat bestuurders periodiek bijgeschoold moeten worden, vergelijkbaar met permanente educatie in andere sectoren.
Documentatie van gevolgde opleidingen is verstandig. Bij toezicht of na een incident kunnen toezichthouders vragen of bestuurders aan de opleidingsplicht voldeden. Een certificaat of deelnamebewijs voorkomt discussie.
Aansprakelijkheid wordt concreet
De Cyberbeveiligingswet introduceert geen nieuw civielrechtelijk aansprakelijkheidsregime. Artikel 2:9 BW blijft het juridische kader. Bestuurders zijn aansprakelijk voor onbehoorlijk bestuur.
Wat de wet wél doet, is de norm voor behoorlijk bestuur concretiseren. Een bestuurder die nalaat cyberbeveiligingsmaatregelen goed te keuren, loopt het risico dat dit als onbehoorlijke taakvervulling wordt aangemerkt. Geen toezicht houden op uitvoering? Ook dat kan leiden tot aansprakelijkheid.
De opleidingsplicht niet nakomen maakt aansprakelijkheid aannemelijker. Een bestuurder die geen cybersecurityopleiding volgde en vervolgens goedkeuring gaf aan inadequate maatregelen, kan moeilijk volhouden dat hem geen ernstig verwijt gemaakt kan worden.
Die aansprakelijkheid is persoonlijk. Niet de rechtspersoon wordt aangesproken, maar individuele bestuurders. Bij bewezen onbehoorlijk bestuur kunnen bestuurders hoofdelijk aansprakelijk zijn voor schade die de organisatie lijdt door cyberincidenten.
Verzekeringen dekken dit risico niet altijd. Directors & Officers (D&O) verzekeringen hebben vaak uitsluitingen voor opzettelijk of bewust roekeloos handelen. Een bestuurder die structureel weigerde cybersecurity te agenderen, valt mogelijk buiten dekking.
Sancties treffen organisaties én personen
De Cyberbeveiligingswet geeft toezichthouders vergaande bevoegdheden. Voor essentiële entiteiten kunnen boetes oplopen tot minimaal 10 miljoen euro of 2% van de wereldwijde jaaromzet – wat het hoogst is. Voor belangrijke entiteiten ligt het maximum op 7 miljoen euro of 1,4% van de omzet.
Die boetes treffen de organisatie, niet persoonlijk het bestuur. Maar artikel 78 gaat verder. Bij essentiële entiteiten kan de toezichthouder een natuurlijke persoon die verantwoordelijk is voor leidinggevende taken tijdelijk verbieden die functie uit te oefenen.
Dat is een ingrijpende maatregel. Een bestuurder kan geschorst worden. Dus niet door de organisatie zelf, maar door de toezichthouder. Die schorsing is tijdelijk maar kan maanden duren. De reputatieschade is blijvend.
Vergunningen kunnen geschorst of ingetrokken worden. Voor sectoren waar vergunningen vereist zijn (denk aan financiële instellingen, energiebedrijven, telecomproviders) betekent dit dat bedrijfsvoering stilvalt. Die sanctie treft niet alleen bestuurders maar de hele organisatie.
Toezichthouders kunnen ook aanwijzingen geven. Die aanwijzingen zijn bindend en moeten binnen gestelde termijnen uitgevoerd worden. Niet-naleving leidt tot dwangsommen of bestuursdwang. De toezichthouder kan zelfs op kosten van de organisatie een audit laten uitvoeren.
De boodschap is helder: cybersecurity is geen vrijblijvend beleidsterrein meer. Bestuurders die dit negeren, riskeren persoonlijke consequenties die verder gaan dan boetes alleen.
Maar uiteindelijk gaat het verder dan alleen compliance. Het gaat om de kwaliteit en continuïteit van het bedrijf. En daar zijn bestuurders primair verantwoordelijk voor.
Samengevat
De Cyberbeveiligingswet markeert een definitieve verschuiving van cybersecurity als IT-onderwerp naar strategische bestuursverantwoordelijkheid.
Organisaties die informatiebeveiliging nu nog behandelen als technisch vraagstuk, missen de essentie: het draait om risicobeheer, continuïteit en bestuurlijke zorgplicht. Sancties zijn zwaar, maar belangrijker is dat inadequate beveiliging direct bedrijfscontinuïteit bedreigt.
1. Zelfbeoordeling is geen optie maar verplichting Organisaties bepalen zelf of ze binnen scope vallen – foutieve inschatting leidt tot sancties met terugwerkende kracht.
2. Bestuurlijke goedkeuring maakt cybersecurity meetbaar Formele goedkeuring door het bestuur creëert accountability en maakt nalatigheid juridisch aantoonbaar.
3. Meldtermijnen van 24 uur vereisen voorbereiding nu Procedures moeten ingericht zijn vóór een incident – improviseren tijdens een crisis is te laat.
4. Toeleveringsketen is onderdeel van eigen risicoprofiel Uitval bij een kritieke leverancier is geen excuus – de organisatie blijft verantwoordelijk voor continuïteit.
5. Persoonlijke aansprakelijkheid bestuurders wordt concreet Artikel 2:9 BW krijgt invulling via de Cyberbeveiligingswet – onbehoorlijk bestuur is aantoonbaar bij nalatigheid.
6. Documentatie is bewijs van zorgvuldigheid Zonder gedocumenteerde risicoanalyses, goedkeuringen en rapportages is naleving niet aantoonbaar.
7. Compliance volstaat niet zonder daadwerkelijke weerbaarheid Vinkjes zetten helpt niet bij een ransomware-aanval – herstelcapaciteit bepaalt de impact.
