De NIS2-richtlijn maakt duidelijk dat cyberveiligheid niet langer alleen een IT-aangelegenheid is, maar een verantwoordelijkheid van het bestuur. Directies en toezichthouders moeten actief zorgdragen voor digitale weerbaarheid, risicobeheersing en continuïteit.
Dit sluit direct aan bij het juridische principe van goed bestuur, zoals vastgelegd in het Nederlandse Burgerlijk Wetboek en diverse governancecodes.
Wat betekent goed bestuur voor cyberveiligheid?
De wetgever verstaat onder goed bestuur een manier van leidinggeven die is gebaseerd op transparantie, integriteit, visie, ordelijke bedrijfsvoering en adequate risicobeheersing.
Voor cybersecurity betekent dit: bestuurders nemen actief verantwoordelijkheid voor het beschermen van hun organisatie, medewerkers, klanten en partners tegen digitale risico’s.
De juridische basis ligt in:
- Artikel 2:8 BW – bestuurders moeten handelen naar redelijkheid en billijkheid ten opzichte van aandeelhouders en andere belanghebbenden.
- Artikel 2:9 BW – bestuurders moeten hun taak naar behoren vervullen en kunnen aansprakelijk worden gesteld bij onbehoorlijk bestuur.
Governancekaders die cyberveiligheid ondersteunen
Goed bestuur wordt verder uitgewerkt in diverse sectorale en nationale kaders:
- Nederlandse Corporate Governance Code (2022) – benadrukt integriteit, risicobeheersing en lange-termijnwaardecreatie.
- Governancecode Zorg (2022) – legt nadruk op informatiebeveiliging, interne controle en maatschappelijke verantwoordelijkheid.
- Wet toetreding zorgaanbieders (Wtza) – verplicht organisaties tot goed bestuur en toezicht.
Deze kaders tonen aan dat cyberrisicobeheersing een kernonderdeel van goed bestuur vormt. Cyberaanvallen raken immers niet alleen de organisatie zelf, maar ook werknemers, klanten, leveranciers, aandeelhouders en de samenleving als geheel.
NIS2: goed bestuur in de praktijk
De NIS2-richtlijn versterkt de bestuurlijke verantwoordelijkheid voor digitale veiligheid. Bestuurders zijn verplicht om:
- digitale risico’s te identificeren en te mitigeren,
- passende technische en organisatorische maatregelen te treffen,
- aansprakelijkheid te dragen bij nalatigheid in cybersecuritybeleid.
Een organisatie die cyberveiligheid integreert in haar governance, voldoet niet alleen aan de wet, maar versterkt ook haar reputatie, veerkracht en vertrouwen binnen de keten.
Concreet betekent goed bestuur volgens NIS2:
- Werknemers werken veilig, zijn digitaal bewust en beschermd in hun persoonsgegevens.
- Klanten kunnen vertrouwen op veilige dienstverlening en databeveiliging.
- Leveranciers en partners maken deel uit van een betrouwbare en transparante keten.
- Aandeelhouders zien dat risico’s worden beheerst en bedrijfscontinuïteit gewaarborgd blijft.
- De maatschappij profiteert van organisaties die bijdragen aan een veilig digitaal ecosysteem.
Strategisch leiderschap en compliance
Goed bestuur in het NIS2-tijdperk vraagt om strategisch leiderschap:
- het structureel agenderen van cybersecurity in de bestuurskamer,
- het koppelen van digitale risico’s aan de bedrijfsstrategie,
- het transparant rapporteren over maatregelen en incidenten.
Cyberveiligheid is daarmee geen IT-onderwerp, maar een onderdeel van verantwoord ondernemerschap en maatschappelijke plicht.
Bronnen:
- Burgerlijk Wetboek Boek 2 – Rechtspersonenrecht, art. 2:8 en 2:9.
- Nederlandse Corporate Governance Code (2022).
- Governancecode Zorg (2022).
- Wet toetreding zorgaanbieders (Wtza).
- Richtlijn (EU) 2022/2555 – NIS2-richtlijn inzake maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging.
