top of page
Zoeken

Bestuurders opgelet: cybersecurity wordt uw persoonlijke verantwoordelijkheid

  • 9 mrt
  • 2 minuten om te lezen

Het zal weinigen ontgaan zijn. In het weekend van 7 en 8 februari 2026 werd Odido getroffen door een grootschalige hack. 6,2 miljoen klantgegevens lekten naar hackers. Met reputatieschade, een OM-onderzoek en claims tot gevolg.

Een nachtmerrie die wellicht voorkomen had kunnen worden als de nieuwe Cyberbeveiligingswet (Cbw/NIS2) al van kracht was. Deze aanstaande wet doet naar alle waarschijnlijkheid in het tweede kwartaal van 2026 haar intrede.

Van IT-vraagstuk naar bestuursplicht

Tot nu toe was cybersecurity een technisch vraagstuk voor de IT-manager. Onder artikel 24 Cbw verandert dat fundamenteel. Als bestuurder moet u:

  • Alle cybersecurity-maatregelenĀ persoonlijk goedkeuren;

  • Op deĀ uitvoering toezien: delegeren is niet voldoende;

  • Binnen twee jaar deĀ kennis hebbenĀ om:

    1. Cyberrisico's te herkennen;

    2. Risicobeheersmaatregelen te beoordelen;

    3. Te kunnen beoordelen hoe cyberrisico's en maatregelen de continuĆÆteit van de dienstverlening beĆÆnvloeden.

Bij een hack uitval van CRM? Klanten niet bediend? Productie stil? Dit moet u kwantificeren en mitigeren.

Welke ondernemingen riskeren miljoenenboetes?

Bijlage I (hoogkritiek):Ā telecom, energie, transport, banking, gezondheidszorg, drinkwater, digitale infrastructuur

  • Boete:Ā ā‚¬10 miljoen of 2% wereldwijde omzetā€‹

Bijlage II (overig belangrijk):Ā ICT/cloud, productie, chemie, post, afvalbeheer

  • Boete:Ā ā‚¬7 miljoen of 1,4% wereldwijde omzetā€‹

Daarnaast geldt een ketenplicht:Ā uw onderneming als leverancier van essentiĆ«le entiteiten moet contractueel compliant zijn.


Risico's bestuurders: boetes en bestuurdersaansprakelijkheid Niet alleen ondernemingen lopen risico, ook haar bestuurders. Voldoet u niet? In de Cbw is de mogelijkheid vervat om aan individuele bestuurders een boete of een last onder dwangsom op te leggen.

Uitgebreidere zorgplichten op het gebied van cyberbeveiliging vergroten het risico op ernstige verwijten, wat onder omstandigheden kan leiden tot bestuurdersaansprakelijkheid.

Ā 

Wat nu? Vier concrete stappen

Stap 1: Scope-check Valt uw onderneming onder bijlage I of II? Inventariseer ketenpartners en legacy-systemen.

Stap 2 ā€“ Kennis opbouwen Organiseer bestuurstraining cybersecurity (verplicht binnen twee jaar).

Stap 3: Maatregelen goedkeuren

  • NIST-risicoanalyse uitvoeren;

  • Pentest op kritieke systemen;

  • Leverancierscontracten NIS2-proof maken.

Stap 4: Incidentplan vaststellen

  • 24-uurs meldprotocol bij Computer Security Incident Response Team van de overheid CSIRT-NL. Zij bieden ondersteuning bij een incident;

  • Duidelijke mandaatverdeling tijdens incident.

Geen tijd meer om achterover te leunen

Cybersecurity is geen IT-kwestie meer, maar een bestuursverantwoordelijkheid die direct uw persoonlijke aansprakelijkheid als bestuurder kan raken. De wet dwingt bestuurders zich actief toe te leggen op cybersecurity, met verplichte goedkeuring van maatregelen, strikte meldprotocollen en ketencontroles die daarmee samenhangen. Wacht niet tot uw onderneming in de krant staat na een hack. Proactief handelen bespaart niet alleen boetes tot ā‚¬10 miljoen, maar beschermt ook uw reputatie, continuĆÆteit en persoonlijke (financiĆ«le) belangen als bestuurder.

Ā 

Meer weten? Neem vrijblijvend contact op. Ik denk graag mee.


Redouan el Haddad Advocaat r.elhaddad@vanamstellegal.nl 0636328676

bottom of page