HomepageNieuws en kennisStories

Informatiebeveiligingsbeleid

03 dec 2025Cyber Security / Management & Organisatie

De rol van bestuurders onder NIS2

De NIS2-richtlijn legt nieuwe verantwoordelijkheden bij organisaties om hun cyberveiligheid aantoonbaar te verbeteren. Een belangrijk verschil met eerdere wetgeving (NIS1) is dat bestuurders, waaronder directies en wettelijke vertegenwoordigers, nu expliciet eindverantwoordelijk worden gesteld. Dit betekent dat zij zich actief moeten bezighouden met het informatiebeveiligingsbeleid van hun organisatie.

Waarom bestuurders onder NIS2 centraal staan

Onder NIS2 wordt informatiebeveiliging niet langer gezien als een puur operationeel vraagstuk. Het bestuur draagt de eindverantwoordelijkheid en kan zelfs persoonlijk aansprakelijk worden gehouden bij tekortkomingen. Lidstaten zijn verplicht sancties te kunnen opleggen, waaronder bestuurlijke boetes of zelfs bestuursverboden voor individuele bestuurders.
Dit vraagt om actieve betrokkenheid bij de strategie, besluitvorming en uitvoering van het informatiebeveiligingsbeleid. Bestuurders moeten niet alleen toezicht houden, maar ook aantoonbaar laten zien dat zij grip hebben op cyberrisico’s.

Verplichte betrokkenheid bij informatiebeveiligingsbeleid

De NIS2-richtlijn heeft het volgende uitgeschreven voor de bestuursleden van een organisatie:
  • toezicht houden op de naleving van het informatiebeveiligingsbeleid,
  • beleid actief goedkeuren en evalueren,
  • en zich structureel laten informeren over risico’s en incidenten.
Daarnaast zijn bestuurders eindverantwoordelijk dat er procedures zijn voor het tijdig melden van incidenten. De richtlijn eist dat significante incidenten binnen 24 uur worden gemeld en binnen 72 uur worden opgevolgd. Het bestuur moet ervoor zorgen dat deze meldketen goed is ingericht en effciënt functioneert.

Training en bewustwording voor bestuurders

Een belangrijke eis van de richtlijn is dat bestuurders, waaronder directies en wettelijke vertegenwoordigers, kennis moeten hebben op het gebied van cybersecurity. Dit heeft twee doelen:
  • Inzicht in risico’s: Bestuurders begrijpen beter welke cyberrisico’s er zijn en hoe het informatiebeveiligingsbeleid deze risico’s beheerst.
  • Effectief toezicht: Ze kunnen beter toezicht houden en weloverwogen beslissingen nemen over beveiligingsmaatregelen.
NIS2 ziet training niet als een eenmalige activiteit, maar als een structurele investering in kennisontwikkeling en bewustwording.

Informatiebeveiligingsbeleid op bestuursniveau

NIS2 legt de verantwoordelijkheid voor informatiebeveiliging nadrukkelijk bij de directie. Bestuurders dragen nu de eindverantwoordelijkheid en moeten actief sturen op het informatiebeveiligingsbeleid.
Wilt u weten welke managementsystemen uw organisatie kunnen helpen om aan deze verplichtingen te voldoen? Lees meer over ISO 27001 en de NIS2-richtlijn in de artikelen onderaan de pagina.

Ontvang NIS2 updates

ISO 27001 toolkit

Cybercrime whitepaper

Heeft u een vraag? Onze experts komen graag met u in contact
Henry Dwars
Boris Zandstra
Blogs over informatiebeveiligingsbeleid
0 Results
No results found.