Op 15 augustus 2026 treedt de Cyberbeveiligingswet in werking, de Nederlandse implementatie van de Europese NIS2-richtlijn. Veel aandacht gaat naar de techniek: de zorgplichtmaatregelen, de meldtermijnen, de registratie. Maar de meest fundamentele verandering is bestuurlijk. De wet richt zich rechtstreeks tot de bestuurskamer: het bestuur keurt de maatregelen goed, ziet toe op de uitvoering en kan bij nalatigheid persoonlijk worden aangesproken.
Wat artikel 20 van NIS2 van het bestuur vraagt
Artikel 20 van de NIS2-richtlijn richt zich tot de bestuursorganen van essentiële en belangrijke entiteiten. Drie verplichtingen springen eruit:
- Goedkeuren
- Het bestuur keurt de cyberbeveiligingsmaatregelen goed die de organisatie op grond van de zorgplicht neemt. Beveiligingsbeleid dat nooit bestuurlijk is vastgesteld, voldoet dus niet: de handtekening van het bestuur is onderdeel van de wet.
- Toezien
- Het bestuur ziet toe op de uitvoering van die maatregelen. Dat vraagt om periodieke, begrijpelijke rapportage: hoe staan we ervoor, waar zitten de grootste risico’s en welke keuzes liggen voor?
- Getraind zijn
- Bestuurders moeten zelf een opleiding volgen om risico’s en maatregelen te kunnen beoordelen. De wet moedigt bovendien aan dat medewerkers regelmatig vergelijkbare training krijgen.
Persoonlijke aansprakelijkheid: geen papieren dreiging
De richtlijn bepaalt dat leden van het bestuur aansprakelijk kunnen worden gehouden wanneer hun organisatie de zorgplicht niet naleeft. Uitvoering delegeren aan een CISO of IT-afdeling kan uiteraard; de verantwoordelijkheid delegeren kan niet. Wie als bestuurder nooit naar de risico’s heeft gevraagd, geen beleid heeft vastgesteld en geen rapportage ontvangt, heeft bij een incident weinig te laten zien.
De organisatie zelf riskeert forse boetes: de richtlijn schrijft boetemaxima voor van ten minste 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten (het hoogste bedrag geldt), en 7 miljoen euro of 1,4% voor belangrijke entiteiten. Voor essentiële entiteiten gaat de richtlijn nog een stap verder: als handhavingsmaatregelen geen effect hebben, kan uiteindelijk zelfs een tijdelijk verbod worden gevorderd op het uitoefenen van leidinggevende taken.
Vijf vragen die elk bestuur vóór 15 augustus moet kunnen beantwoorden
- Vallen wij onder de Cyberbeveiligingswet, en zijn wij dan een essentiële of een belangrijke entiteit? Leg de conclusie vast, ook als het antwoord nee is.
- Is ons informatiebeveiligingsbeleid bestuurlijk vastgesteld, en wanneer is dat voor het laatst gebeurd?
- Hoe wordt het bestuur periodiek geïnformeerd over risico’s, incidenten en de voortgang van maatregelen?
- Is het meldproces belegd en geoefend, zodat de wettelijke termijnen van 24 uur, 72 uur en één maand haalbaar zijn?
- Welke opleiding hebben de bestuurders zelf gevolgd, en is dat vastgelegd?
Maak de betrokkenheid aantoonbaar
Toezichthouders en auditors kijken niet alleen naar wat er geregeld is, maar vooral naar wat daarvan aantoonbaar is. Bestuurlijke betrokkenheid toont u aan met vastgestelde besluiten, een periodieke bestuursrapportage over informatiebeveiliging, restrisico’s die expliciet door het bestuur zijn geaccepteerd en een registratie van gevolgde opleidingen. Zo wordt governance geen bijlage bij het beleid, maar het bewijs dat de organisatie in control is.
Eén maand tot de inwerkingtreding
Een volledige implementatie vergt langer, maar de bestuurlijke basis is vóór 15 augustus 2026 goed te organiseren: agendeer de zelfevaluatie, stel het beleid formeel vast en spreek een vaste rapportagecyclus af. Normio genereert die bestuursrapportage per kwartaal, inclusief formele vaststelling volgens het vier-ogen-principe.