NIS2 en hoofdelijke aansprakelijkheid: wat publieke bestuurders wél en niet moeten vrezen
Gepubliceerd op 5 juni 2026
Let op: dit artikel is bedoeld als algemene kennisbankinformatie en is geen juridisch advies.
Inleiding
NIS2 roept bij veel publieke organisaties dezelfde vraag op: worden bestuurders straks persoonlijk of zelfs hoofdelijk aansprakelijk wanneer cyberbeveiliging tekortschiet? Die vraag is begrijpelijk, maar vermengt twee zaken die u scherp uit elkaar moet houden. De formele cybersecuritywetgeving (NIS2 en de Cyberbeveiligingswet) legt verplichtingen op aan de organisatie en haar bestuur: maatregelen goedkeuren, toezicht houden op uitvoering en voldoende kennis hebben om cyberrisico's te beoordelen. De politieke en bestuurlijke aansprakelijkheid — verantwoording aan raad, staten of parlement wanneer het misgaat — loopt via de bestaande nationale kaders en verandert door NIS2 niet wezenlijk. Wie deze twee sporen door elkaar haalt, overschat het juridische risico en onderschat het bestuurlijke.
Toch verdient het begrip hoofdelijke aansprakelijkheid nuance, zeker bij publieke bestuurders. NIS2 introduceert geen algemene, automatische hoofdelijke aansprakelijkheid voor iedere burgemeester, wethouder, gedeputeerde, dijkgraaf, bestuurder of overheidsdirecteur. Voor overheidsinstanties blijft nationaal recht rond aansprakelijkheid van publieke instellingen, ambtenaren en gekozen of benoemde functionarissen leidend. Digitale Overheid formuleert dit expliciet: NIS2 brengt voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee buiten wat al bestond, al kan aansprakelijkheid bij bijvoorbeeld grove nalatigheid al bestaan.
De kernboodschap is daarom niet dat iedere publieke bestuurder persoonlijk financieel aansprakelijk wordt voor elk cyberincident. De kernboodschap is dat bestuurlijke verantwoordelijkheid aantoonbaar moet worden ingevuld. Wie geen zicht heeft op risico's, geen passende maatregelen laat treffen en geen bewijs heeft van opvolging, staat bestuurlijk en toezichthoudend zwakker.
Drie acties die u als bestuurder in elk geval moet nemen:
- Volg de verplichte cybersecurity-training en houd kennis bij — NIS2 verplicht bestuurders om cyberrisico's en beheersmaatregelen zelf te kunnen beoordelen.
- Keur de beveiligingsmaatregelen expliciet goed en leg dat besluit vast — goedkeuring is een wettelijke bestuurstaak die u niet aan de CISO of IT kunt overlaten.
- Organiseer aantoonbaar toezicht op de uitvoering — een vast rapportageritme over risico's, herstel en restpunten, met een herleidbaar dossier van wat is besloten en gecontroleerd.
Wat zegt NIS2 over bestuurlijke aansprakelijkheid?
Artikel 20 van de NIS2-richtlijn vormt het hart van de governanceverplichting. De management bodies van essentiële en belangrijke entiteiten moeten de cybersecurity risk-management measures goedkeuren, toezien op de implementatie daarvan en aansprakelijk kunnen worden gehouden voor inbreuken door de entiteit op artikel 21. Artikel 21 bevat de zorgplicht: passende en evenredige technische, operationele en organisatorische maatregelen om risico's voor netwerk- en informatiesystemen te beheersen en de impact van incidenten te voorkomen of te beperken.
"Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article." — NIS2, artikel 20.
Voor publieke bestuurders is vooral de tweede zin van artikel 20 belangrijk. De richtlijn bepaalt dat deze governanceverplichting geen afbreuk doet aan nationaal recht rond aansprakelijkheid van publieke instellingen, publieke functionarissen en gekozen of benoemde ambtsdragers. Dat betekent dat de Nederlandse implementatie en bestaande bestuursrechtelijke, ambtenarenrechtelijke, civielrechtelijke en politieke verantwoordingsmechanismen bepalend blijven voor de concrete aansprakelijkheidsvraag.
| Onderwerp | Wat NIS2 duidelijk maakt | Wat dit praktisch betekent |
|---|---|---|
| Goedkeuring van maatregelen | Het bestuur moet cyberbeveiligingsmaatregelen goedkeuren. | Cybersecurity hoort op de bestuurstafel, niet alleen bij IT. |
| Toezicht op uitvoering | Het bestuur moet toezien op implementatie. | Er moeten rapportages, escalaties en voortgangsbesluiten zijn. |
| Trainingsplicht | Bestuurders moeten kennis en vaardigheden opbouwen. | Cyberrisico's moeten bestuurlijk begrepen en beoordeeld kunnen worden. |
| Aansprakelijkheid | Management bodies kunnen aansprakelijk worden gehouden voor inbreuken. | Voor publieke bestuurders blijft nationale aansprakelijkheidscontext leidend. |
| Bewijsbaarheid | NIS2 vraagt feitelijk om aantoonbare risicobeheersing. | Organisaties moeten dossiers, besluiten, metingen en opvolging kunnen tonen. |
Publieke sector: geen paniek, wel verantwoordelijkheid
Digitale Overheid geeft voor overheidsinstanties een belangrijke verduidelijking. De aansprakelijkheidsbepaling uit de NIS2-richtlijn is volgens deze toelichting niet direct van toepassing op overheidsinstanties, omdat de richtlijn aangeeft dat nationaal recht over aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen niet wordt aangetast.
Dat betekent niet dat publieke bestuurders niets hoeven te doen. Integendeel. Gemeenten, provincies, waterschappen en de centrale overheid worden in de toelichting van Digitale Overheid genoemd als entiteiten die onder NIS2 als essentiële entiteiten worden aangemerkt. De omvangscriteria die voor veel private sectoren gelden, zijn niet van toepassing op overheidsinstanties. Voor publieke organisaties wordt bovendien gekeken naar bestaande verantwoordingsstructuren zoals BIO en ENSIA, waarbij het streven is om toezicht zoveel mogelijk aan te sluiten op bestaande verantwoordingsinformatie.
De boodschap is dus dubbel. Er is geen reden voor juridische paniek over een automatische hoofdelijke aansprakelijkheid. Er is wel alle reden om bestuurlijke cyberzorg aantoonbaar te organiseren. Bestuurders kunnen zich niet verschuilen achter de CISO of IT-afdeling. De Nationaal Coördinator Terrorismebestrijding en Veiligheid stelt expliciet dat de CISO het bestuur ondersteunt, maar de formele eindverantwoordelijkheid niet kan en mag overnemen.
De Nederlandse Cyberbeveiligingswet: bestuurders moeten kunnen meepraten
De NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet. Het NCSC schrijft dat de NIS2-richtlijn eind 2022 is vastgesteld en gericht is op versterking van de digitale en economische weerbaarheid van Europese lidstaten; de richtlijn wordt omgezet naar de Nederlandse Cyberbeveiligingswet, die de huidige Wet beveiliging netwerk- en informatiesystemen zal vervangen.
De NCTV maakt duidelijk wat dat bestuurlijk betekent. Cyberbeveiliging wordt onder de Cyberbeveiligingswet niet langer gezien als een technische kwestie, maar als een onderwerp voor de gehele organisatie. Het bestuur is verantwoordelijk voor beleid en naleving, moet aantoonbare kennis en vaardigheden hebben over risico's voor netwerk- en informatiesystemen, moet inzicht hebben in risico's en passende maatregelen nemen, en moet regelmatig met de CISO spreken.
| Bestuurlijke plicht | Praktische invulling | Bewijs dat beschikbaar moet zijn |
|---|---|---|
| Kennis opbouwen | Bestuurstraining, periodieke updates en CISO-gesprekken. | Certificaten, agenda's, verslagen en besluiten. |
| Risico's begrijpen | Inzicht in kritieke processen, assets, leveranciers en dreigingen. | Risicoregister, assetoverzicht, ketenanalyse en dreigingsbeeld. |
| Maatregelen goedkeuren | Besluitvorming over zorgplichtmaatregelen, budget en prioriteiten. | Bestuursbesluiten, onderbouwing, risicobereidheid en uitzonderingen. |
| Toezien op uitvoering | Periodieke rapportage over voortgang, kwetsbaarheden en incidenten. | Dashboards, herstel-SLA's, audit trail en escalaties. |
| Continu verbeteren | Hercontrole na incidenten, audits en scans. | Verbeterplannen, her-scans, lessons learned en managementreviews. |
Voor bestuurders is vooral het woord aantoonbaar belangrijk. Niet iedere organisatie hoeft dezelfde maatregelen te nemen, maar iedere organisatie moet kunnen uitleggen waarom gekozen maatregelen passend en evenredig zijn. Zonder actuele feiten over het digitale aanvalsoppervlak, kwetsbaarheden, leveranciersafhankelijkheden en herstelstatus blijft die uitleg kwetsbaar.
Cybersecurity-zorgplicht van de overheid: van beleid naar meetbare beheersing
Artikel 21 van NIS2 verplicht organisaties tot passende en evenredige maatregelen. De richtlijn noemt onder meer risicoanalyse, beveiligingsbeleid, incidentbehandeling, bedrijfscontinuïteit, supply-chain security, beveiliging bij aanschaf, ontwikkeling en onderhoud, beleid voor effectiviteitsmeting, cyberhygiëne, training, cryptografie, personeelsbeveiliging, toegangsbeheer, asset management, multi-factor authenticatie en beveiligde communicatie.
De Rijksinspectie Digitale Infrastructuur benadrukt dat risicomanagement onder de Cyberbeveiligingswet een geïntegreerde en doorlopende aanpak vraagt. Organisaties moeten risico's in kaart brengen, oplossingen kiezen, regelmatig controleren of die oplossingen werken en bijstellen waar nodig. Ook ketenrisico's en leveranciersafhankelijkheid moeten expliciet onderdeel zijn van de risicoanalyse en het cyberbeveiligingsbeleid.
Voor publieke bestuurders is dit relevant omdat publieke dienstverlening steeds afhankelijker wordt van digitale ketens. Gemeenten, provincies en waterschappen zijn niet alleen verantwoordelijk voor interne kantoorautomatisering. Zij beheren digitale loketten, gegevensstromen, zaak- en documentmanagementsystemen, koppelingen met landelijke voorzieningen, leveranciersportalen en soms operationele technologie. Een kwetsbaarheid in een extern zichtbaar systeem kan daardoor bestuurlijke gevolgen hebben voor continuïteit, privacy, vertrouwen en dienstverlening.
Waarom vulnerability evidence bestuurlijk relevant is
Een bestuur kan alleen toezicht houden op cyberbeveiliging wanneer de informatie betrouwbaar, actueel en begrijpelijk is. Een beleidsdocument of jaarlijkse audit is daarvoor onvoldoende. Cyberrisico verandert dagelijks. Nieuwe diensten komen online, leveranciers passen configuraties aan, kwetsbaarheden worden gepubliceerd en dreigingsactoren automatiseren hun verkenning.
Evidence-first vulnerability monitoring helpt publieke organisaties om die dynamiek bestuurbaar te maken. De kern is dat iedere bevinding niet alleen technisch wordt geregistreerd, maar ook wordt gekoppeld aan context, eigenaar, prioriteit, besluit en hercontrole. Dat maakt het verschil tussen "we hebben ooit gescand" en "we kunnen aantonen wat ons actuele risicobeeld is en wat wij ermee doen".
| Bestuurlijk risico | Zonder aantoonbare monitoring | Met evidence-first monitoring |
|---|---|---|
| Onbekend aanvalsoppervlak | Vergeten domeinen, testomgevingen of open diensten blijven buiten beeld. | Nieuwe of afwijkende externe assets worden sneller zichtbaar. |
| Onvoldoende prioritering | Teams werken aan lage risico's terwijl kritieke blootstelling blijft bestaan. | Bevindingen worden geprioriteerd op ernst, blootstelling en context. |
| Zwakke verantwoording | Het bestuur kan niet onderbouwen welke keuzes zijn gemaakt. | Besluiten, uitzonderingen en herstelacties zijn herleidbaar. |
| Ketenonzekerheid | Leveranciersrisico's worden pas zichtbaar bij incidenten. | Externe afhankelijkheden kunnen structureel worden meegenomen in risicobeeld. |
| Audit- of toezichtdruk | Informatie moet achteraf worden gereconstrueerd. | Bewijslast is al tijdens het proces opgebouwd. |
Exposentry sluit hierbij aan door kwetsbaarhedenmonitoring te benaderen als een forensisch onderbouwd proces. Het doel is niet om bestuurders technische details te laten managen, maar om hen betrouwbare stuurinformatie te geven. De CISO of securityverantwoordelijke blijft de inhoudelijk adviseur; het bestuur krijgt de bewijslast die nodig is om keuzes te maken en toezicht te houden.
Wat moet er op de bestuurstafel liggen?
Een effectief bestuursgesprek over NIS2 gaat niet over honderden individuele kwetsbaarheden. Het gaat over trend, prioriteit, restrisico en besluitvorming. Het NCSC adviseert bestuurders om met de CISO te spreken over veiligheidscultuur, kennis, verantwoordelijkheid, bestuursagenda, risicobeoordeling, risicobehandeling, continuous in control en wet- en regelgeving.
Voor publieke organisaties is een vaste kwartaalrapportage vaak een bruikbaar ritme. Bij grote incidenten, kritieke kwetsbaarheden of bestuurlijke risicoacceptatie moet escalatie sneller plaatsvinden. Het rapport hoeft niet lang te zijn, maar moet wel consistent zijn.
| Bestuursrapportage-onderdeel | Voorbeeldvraag |
|---|---|
| Actueel aanvalsoppervlak | Welke nieuwe of onbekende externe assets zijn ontdekt? |
| Kritieke kwetsbaarheden | Welke bevindingen raken essentiële dienstverlening of gevoelige gegevens? |
| Herstelstatus | Welke risico's zijn binnen SLA opgelost en welke niet? |
| Risicoacceptatie | Welke risico's accepteren we tijdelijk, waarom en tot wanneer? |
| Ketenrisico's | Welke leveranciers of koppelingen vragen bestuurlijke aandacht? |
| Incidentgereedheid | Zijn back-up, incidentrespons en continuïteitsplannen getest? |
| Bewijspositie | Kunnen we aantonen wat is gevonden, besloten, uitgevoerd en hercontroleerd? |
Het bestuur hoeft daarbij geen technisch college te worden. Wel moet het bestuur voldoende kennis hebben om de juiste vragen te stellen, prioriteiten te wegen en besluiten te nemen over geld, capaciteit en risicobereidheid.
Conclusie: aansprakelijkheid voorkomen begint bij aantoonbaarheid
Voor publieke bestuurders is NIS2 geen reden tot paniek over automatische hoofdelijke aansprakelijkheid. De richtlijn laat nationale regels over aansprakelijkheid van publieke instellingen, ambtenaren en gekozen of benoemde functionarissen intact. Digitale Overheid bevestigt bovendien dat NIS2 voor overheidsbestuurders geen nieuwe aansprakelijkheden introduceert buiten wat al bestond.
Maar die nuance mag niet worden gelezen als vrijbrief. NIS2 en de Cyberbeveiligingswet maken cyberbeveiliging nadrukkelijk bestuurlijk. Bestuurders moeten risico's begrijpen, maatregelen goedkeuren, toezicht houden op uitvoering, training volgen en aantoonbaar in gesprek blijven met de CISO.
Daarom is de echte vraag niet: "Ben ik straks hoofdelijk aansprakelijk?" De betere vraag is: "Kan ik aantonen dat wij onze cyberrisico's kennen, passende maatregelen hebben gekozen en opvolging controleren?" Hoe u die aantoonbaarheid stap voor stap organiseert, leest u in het NIS2-stappenplan voor overheidsbesturen.
Exposentry helpt publieke organisaties bij dat laatste. Door het digitale aanvalsoppervlak en kwetsbaarheden evidence-first te monitoren, ontstaat de feitelijke basis voor bestuurlijke cyberzorg: actueel, herleidbaar en geschikt voor dialoog tussen bestuur, CISO, auditor en toezichthouder.
Bronnen
- EUR-Lex, Directive (EU) 2022/2555, Article 20 — eur-lex.europa.eu
- Digitale Overheid, "Veelgestelde vragen Cyberbeveiligingswet" — digitaleoverheid.nl
- EUR-Lex, Directive (EU) 2022/2555, Article 21 — eur-lex.europa.eu
- NCTV, "Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders" — nctv.nl
- NCSC, "Over de Cbw" — ncsc.nl
- Rijksinspectie Digitale Infrastructuur, "Risicomanagement en cyberbeveiliging" — rdi.nl
- NCSC, "Vragen die je als bestuurder kunt stellen aan de CISO" — ncsc.nl
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.