Bestuurders niet klaar voor NIS2

In dit artikel:

Vanaf 2026 zullen Nederlandse bestuurders onder de Europese NIS2-richtlijn persoonlijk aansprakelijk kunnen worden gesteld voor cyberincidenten. Bibi van den Berg, hoogleraar cybersecurity-governance aan de Universiteit Leiden, waarschuwt dat veel bestuurders nu nog niet over de benodigde inhoudelijke kennis beschikken om die nieuwe verantwoordelijkheid goed in te vullen. In een interview met Computer Weekly merkt ze op dat cybersecurity weliswaar is opgeklommen tot boardroom-topic, maar dat directe beoordeling van risico’s vaak ontbreekt.

Bestuurders noemen vooral staatgesponsorde aanvallen als grootste dreiging, terwijl velen niet kunnen onderbouwen waarom hun organisatie een aantrekkelijk doelwit zou zijn — wat leidt tot kostbare investeringen in geavanceerde verdediging, terwijl eenvoudige basismaatregelen blijven liggen. Een ander struikelblok is het ontbreken van betrouwbare, langjarige data: aanvalsvectoren en tactieken veranderen snel, waardoor risicoanalyses lastig te onderbouwen zijn.

Van den Berg vindt dat NIS2 te veel lasten legt bij mensen die niet dagelijks bezig zijn met digitale veiligheid; zij pleit voor meer verantwoordelijkheid bij leveranciers om systemen al bij de bron veiliger te maken. Als alternatief stelt ze ‘cushion thinking’ voor: meerdere beschermlagen die uiteenlopende risico’s tegelijk dempen, in plaats van telkens te focussen op één vermeende grootste dreiging. De uitgestelde invoering biedt Nederland tijd om bestuurders beter toe te rusten; zonder structurele kennisopbouw dreigt de richtlijn echter te verworden tot een compliance-vinkje.