NIS2.it.com
Terug naar blog
Governance
NIS2 artikel 20: de 5 bestuursverantwoordelijkheden die niet gedelegeerd kunnen worden

NIS2 artikel 20: de 5 bestuursverantwoordelijkheden die niet gedelegeerd kunnen worden

9 min leestijd
AD

Alexandre Durand

Hoofdredacteur — Cybersecurityexpert

Maandagochtend. Het bestuur ontvangt een NCSC-NL-brief: uw organisatie is geclassificeerd als essentiële entiteit onder NIS2. Artikel 20 van richtlijn 2022/2555 is nu op u van toepassing. En, in tegenstelling tot eerdere regelgeving, kan deze verantwoordelijkheid niet worden gedelegeerd.

Wat artikel 20 precies zegt

Artikel 20 van richtlijn 2022/2555 verplicht de bestuursorganen van essentiële en belangrijke entiteiten om de risicomaatregelen voor cyberbeveiliging goed te keuren, toezicht te houden op hun implementatie en aansprakelijk te worden gesteld in geval van niet-naleving. Bestuurders moeten ook regelmatig trainingen volgen om cyberrisico's te kunnen beoordelen. Artikel 32(6) staat bevoegde autoriteiten toe om tijdelijk de uitoefening van bestuursfuncties te verbieden in geval van zware of herhaalde tekortkomingen.

Verantwoordelijkheid 1: risicomaatregelen goedkeuren

Het bestuur moet het risicobeheerbeleid formeel valideren in de notulen. Geen delegatie mogelijk: de raad van bestuur of gelijkwaardig orgaan tekent. De tien minimale maatregelen uit artikel 21 (risicoanalyse, incidentbeheer, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, MFA, encryptie, training) moeten worden beoordeeld en goedgekeurd.

Verantwoordelijkheid 2: toezicht houden op implementatie

Kwartaalrapportage aan het bestuur over dashboardindicatoren: aantal incidenten, patchingniveau, gedekte kritieke activa, auditresultaten. De CISO rapporteert, maar het bestuur controleert.

Verantwoordelijkheid 3: training volgen

De NIS2 Compliance Study 2025 benchmarkt 4 tot 8 uur training per jaar voor bestuurders. Doel: cyberrisico's kunnen beoordelen, geen technisch expert worden.

Verantwoordelijkheid 4: voldoende middelen toewijzen

Gartner 2024-referenties: cyberbeveiligingsbudget 8 tot 12% van het IT-budget voor gereguleerde sectoren. Onderinvestering wordt door NCSC-NL geïnterpreteerd als een tekortkoming van het bestuur.

Verantwoordelijkheid 5: persoonlijk aansprakelijk zijn

Artikel 32(6) van richtlijn 2022/2555: bevoegde autoriteiten kunnen de uitoefening van bestuursfuncties tijdelijk verbieden. Artikel 34: boetes tot 10 M€ of 2% van wereldwijde omzet. Strafrechtelijke en civielrechtelijke aansprakelijkheid blijft via Nederlands recht.

Checklist voor een NCSC-NL-audit

Bestuursnotulen die risicomaatregelen goedkeuren. Certificaten van bestuurderstraining. Kwartaaldashboard cyberbeveiliging. Formeel budgetbeleid. Bestuursbesluitnota's. Register van cyberbesluiten op bestuursniveau.

*Dit artikel is uitsluitend informatief en vormt geen juridisch advies.*

Dit artikel wordt uitsluitend voor informatieve doeleinden verstrekt en vormt geen juridisch advies.