NIS2 en de rol van de bestuurder


In twee eerdere artikels heb ik vooral uiteengezet wat de NIS2 is en ben ik specifiek ingegaan op de vraag hoe het zit met beveiligingseisen die uit de NIS2-richtlijn voortkomen. In dit artikel ga ik specifiek in op de rol van de bestuurder binnen de NIS2 en de bestuurdersaansprakelijkheid.

Geschatte leestijd: 3 minuten

Met de introductie van de nieuwe Europese cybersecurityrichtlijn NIS2 wil de Europese Unie bedrijven dwingen hun cybersecurity op orde te brengen. De NIS2-richtlijn wordt omgezet in nationaal recht. In Nederland zal de Wet beveiliging netwerk- en informatiesystemen (Wbni) hiervoor aangepast worden. In dit artikel ga ik specifiek in op de rol van de bestuurder binnen de NIS2 en de bestuurdersaansprakelijkheid. Twee eerdere artikels over NIS2 kun je hier teruglezen: Wat is de NIS2 en hoe zit het met de beveiligingseisen van NIS2.

Zorgplicht voor bestuurders

Art. 32 lid 6 van de NIS2-richtlijn geeft aan dat iedere bestuurder van een organisatie bevoegd dient te zijn om security-maatregelen te nemen en dat bestuurders aansprakelijk kunnen worden gesteld wanneer zij de NIS2-richtlijn niet naleven.

In artikel 20 lid 1 richt de NIS2-richtlijn zich rechtstreeks tot het bestuur van de organisaties. Bestuursorganen dienen de cybersecuritymaatregelen goed te keuren, toe te zien op de uitvoering ervan en kunnen aansprakelijk worden gehouden indien de organisatie zich niet aan de beveiligingsplicht houdt. 

De NIS2 geeft bestuursorganen hiermee een zorgplicht voor het nemen van security-maatregelen waarbij zij ook nog eens aansprakelijk kunnen worden gesteld op het moment dat er inbreuk wordt gemaakt op deze zorgplicht. 

Als bestuurder van een organisatie neem je tal van strategische en operationele beslissingen. Beslissingen nemen over security-maatregelen en het managen van informatiebeveiliging horen daar (straks) ook bij. 

Opleidingseisen voor bestuurders

Menig bestuurder is uiteraard geen expert op het gebied van informatiebeveiliging. Het lijkt er hierbij om te gaan dat een bestuurder voldoende kennis heeft om de discussie binnen de organisatie aan te gaan over informatiebeveiliging en hierover overwogen beslissingen kan nemen.  

Hiertoe schrijft art. 20 lid 2 van de NIS2-richtlijn voor dat bestuurders een opleiding moeten volgen zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de organisatie worden verleend, te kunnen beoordelen.

Risico’s identificeren en beheersen

In art. 20 lid 2 van de NIS2-richtlijn worden het identificeren en het beheersen van risico’s op het gebied van cyberbeveiliging expliciet genoemd als taken voor bestuurders. Mocht je dit nog niet doen dan is het een goed idee om je als bestuurder hier nu al mee bezig te gaan houden. 

Meer weten?

Heb je vragen over de NIS2-richtlijn, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.