Voor directie, RvB en RvC
Bestuurders
TL;DR
TL;DR
Onder NIS2 en de Cyberbeveiligingswet ligt de eindverantwoordelijkheid voor cybersecurity expliciet bij het bestuur. Je moet de zorg- en meldplicht aantoonbaar invullen, scholing volgen en kunnen uitleggen welke risico's je accepteert. URL.nl helpt om dat in begrijpelijke taal en met onderbouwde cijfers op de bestuurstafel te krijgen.
Introductie
Bestuurders zijn onder NIS2 en de Cyberbeveiligingswet persoonlijk en bestuurlijk aansprakelijk voor digitale weerbaarheid. Dat betekent niet dat je zelf techniek hoeft te begrijpen, wel dat je structureel kunt sturen op risico, maatregelen en incidenten.
Verantwoordelijkheden
- Goedkeuren van het cybersecurity beleid en de risicoacceptatie
- Toezien op de uitvoering van zorgplicht, meldplicht en registratieplicht
- Periodieke scholing volgen over digitale risico's
- Aanspreekbaar zijn op incidenten en de afhandeling daarvan
- Vastleggen van besluiten en risicoafwegingen in bestuurlijke documentatie
Vragen die nu op de agenda horen
- Welke processen liggen plat als onze belangrijkste systemen uitvallen?
- Wie is binnen 24 uur het aanspreekpunt richting toezichthouder?
- Zijn onze belangrijkste leveranciers in scope en getoetst?
- Welke risico's accepteren we bewust en is dat vastgelegd?
- Hoe vaak oefenen we een incident, ook buiten kantooruren?
Risico's bij niets doen
- Persoonlijke aansprakelijkheid bij aantoonbaar tekortschietend toezicht
- Bestuurlijke boetes en reputatieschade na een gemeld incident
- Onverzekerbaarheid bij gebreken in basismaatregelen
- Verlies van klantcontracten met cybersecurity-eisen in de keten
Hoe wij dit aanpakken
- Bestuurssessie van een dagdeel, vertaling van wetgeving naar jouw organisatie
- Nulmeting met heldere risicoscores en een prioriteitenlijst
- Kwartaalrapportage op bestuursniveau, zonder jargon
- Oefening van incidentbesluitvorming met directie en IT
Wat je concreet krijgt
- Bestuursrapportage met risico's, maatregelen en restrisico
- Beslisdocument over zorg- en meldplicht
- Logboek van bestuurlijke besluiten over cybersecurity
- Scholingscertificaat voor directie en commissarissen
Diensten die hierbij passen
- ISMS dashboard, eén plek waar risico's, maatregelen en documentatie samenkomen.
- Auditvoorbereiding, voorbereiding op interne, externe of toezichthoudende audits.
- Security awareness training, praktische training voor medewerkers in herkennen en melden van risico's.
Veelgestelde vragen
Moeten alle bestuurders scholing volgen?
Ja. NIS2 schrijft voor dat bestuurders periodiek geschoold worden in cyberrisico's, zodat zij goedgekeurde besluiten kunnen onderbouwen.
Wat betekent persoonlijke aansprakelijkheid in de praktijk?
Toezichthouders kunnen bij gebleken nalatigheid bestuurlijke maatregelen opleggen, waaronder boetes en in uiterste gevallen een tijdelijke bestuursverbod voor de verantwoordelijke functionaris.
Hoe vaak willen we een bestuursrapportage zien?
Een kwartaalritme werkt voor de meeste organisaties. Bij hoog-risicoperiodes, fusies of incidenten ligt een tussentijdse rapportage voor de hand.
Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.
Wil je weten wat jouw organisatie nodig heeft?
Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.
Plan een cybersecurity intake