Zijn bestuurders de sjaak bij een hack?

Door NIS2 verschuift digitale verantwoordelijkheid naar de bestuurskamer. Weet jij wat dit betekent voor jouw rol als bestuurder? Lange tijd werd cybersecurity gezien als een IT-zaak. Zolang de firewall draaide en de virusscanner geen alarm sloeg, leek er weinig aan de hand. Maar die tijd is voorbij. Digitale incidenten hebben directe impact op continuïteit, reputatie en financiële resultaten – en daarmee ook op bestuurlijke verantwoordelijkheid. 

Nieuwe Europese wetgeving zoals NIS2 en DORA maakt die verantwoordelijkheid expliciet. Bestuurders zijn niet langer zijdelings betrokken, maar juridisch en praktisch medeverantwoordelijk voor digitale weerbaarheid. In dit artikel lees je wat er verandert, waar het vaak misgaat en hoe je als bestuurder grip houdt op cyberrisico’s. Dat dit geen theoretische risico’s zijn, bleek onlangs nog bij Odido. Begin februari 2026 kregen criminelen toegang tot een klantcontactsysteem waarbij gegevens van circa 6,2 miljoen (oud-)klanten zijn ingezien en gekopieerd. Zo’n incident raakt niet alleen IT, maar ook reputatie, toezicht en de vraag of er vanuit de bestuurskamer voldoende is gestuurd op dataminimalisatie en risicobeheersing.

Kun je als bestuurder persoonlijk aansprakelijk worden gesteld?

Ja, en die kans neemt toe. De NIS2-richtlijn maakt duidelijk dat digitale nalatigheid niet langer zonder gevolgen blijft. ‘Daar gaat IT over’ is geen verdedigbare positie meer. Bestuurders moeten kunnen aantonen dat zij actief sturen op digitale risico’s en dat cybersecurity structureel onderdeel is van riskmanagement en besluitvorming.

Dit zijn de belangrijkste gevolgen voor bestuurders:

• Zorgplicht: je moet aantoonbaar aandacht besteden aan digitale risico’s en maatregelen.
• Persoonlijke aansprakelijkheid: bij ernstige nalatigheid kun je individueel verantwoordelijk worden gehouden.
• Sancties: toezichthouders kunnen ingrijpen, tot tijdelijke uitsluiting van bestuursfuncties aan toe.
• Opleidingsplicht: basiskennis van cyberdreigingen en wetgeving is geen luxe meer, het is noodzaak.

Wat betekent NIS2 in de praktijk?

De meeste cyberincidenten beginnen klein, maar de impact is groot. Hackers gebruiken zelden extreem geavanceerde technieken. In veel gevallen begint een incident met phishing of ander menselijk gedrag. De gevolgen daarvan kunnen verstrekkend zijn.

• Odido (2026): Criminelen kregen ongeautoriseerde toegang tot een klantcontactsysteem waarbij gegevens van circa 6,2 miljoen (oud-)klanten zijn ingezien en gekopieerd. Het ging onder meer om naam-, adres-, contactgegevens, IBAN, geboortedatum en ID-nummers. Hoewel wachtwoorden niet zijn buitgemaakt, maakt deze combinatie gerichte phishingacties en identiteitsfraude mogelijk. Opvallend is dat ook gegevens van voormalige klanten nog aanwezig waren. Dit roept vragen op over dataminimalisatie en bewaartermijnen.
• Clinical Diagnostic Services (2025): bijna 1 miljoen medische gegevens werden gelekt. Duidelijke bestuurlijke sturing op dataminimalisatie en toegangsbeheer had de impact kunnen beperken.
• Asahi Beverages (2025): ransomware legde de operatie stil. Regelmatige crisisoefeningen en bestuurlijke toetsing van back-ups en continuïteitsplannen hadden hier verschil kunnen maken.
• Pornhub (2025): gestolen klantgegevens leidden tot afpersing en reputatieschade. Transparant risicomanagement en heldere verantwoordelijkheden zijn in zulke situaties cruciaal.

Deze voorbeelden laten zien dat cybersecurity niet alleen een technisch probleem is en dat NIS2 zeer relevant is. Het raakt dienstverlening, vertrouwen en bestuursaansprakelijkheid.

Hoe beperk je als bestuurder je risico?

Aantoonbaar werken aan digitale weerbaarheid is inmiddels een randvoorwaarde. Een cyberaanval is immers nooit volledig uit te sluiten. Wat je wel kunt doen, is zorgen dat je als bestuurder voldoet aan je zorgplicht en laat zien dat je risico’s serieus neemt.

• Voer een gap-analyse uit: hoe verhoudt je organisatie zich tot NIS2 en DORA?
• Werk met een risk framework: breng structuur en prioriteit aan in cyberrisico’s.
• Investeer in aantoonbare awareness: bewustzijn vraagt meer dan alleen een jaarlijkse e-learning.
• Stimuleer een meldcultuur: fouten vroeg melden voorkomt grotere incidenten.
• Breng de basis op orde: denk aan MFA, patchmanagement en toegangscontrole.

Hoe maak je medewerkers echt onderdeel van je verdediging?

Menselijk gedrag speelt een rol bij het merendeel van de datalekken. Training is daarom essentieel, maar alleen effectief als het gedrag daadwerkelijk verandert. Voor bestuurders is de kernvraag niet welke tool je daarvoor inzet, maar of trainingen leiden tot aantoonbaar veiliger gedrag binnen de organisatie.

Interactieve simulaties en serious games

In deze vorm van cybersecuritytraining ervaren deelnemers zelf hoe social engineering werkt en welke keuzes tot risico’s leiden. Deelnemers stappen tijdelijk in het perspectief van de aanvaller, waardoor inzicht ontstaat in hoe eenvoudig menselijke fouten kunnen worden uitgebuit.

• Voordelen: hoge betrokkenheid en interactie, inzicht in besluitvorming onder druk en aantoonbare bewustwording van kwetsbaar gedrag.
• Nadelen: vraagt tijd en actieve deelname, kan de complexiteit van echte dreigingen vereenvoudigen en vereist goede begeleiding om de vertaalslag naar de dagelijkse praktijk te maken. Zonder structurele opvolging in beleid en processen vervaagt het effect snel.

Phishingsimulaties

Phishingsimulaties bootsen realistische aanvalsscenario’s na en maken zichtbaar hoe kwetsbaar de organisatie in de praktijk is. Medewerkers ontvangen onverwacht testmails waarmee klik- en meldgedrag inzichtelijk worden.

• Voordelen: realistische toetsing van gedrag in plaats van alleen kennis, meetbare inzichten in klik- en meldgedrag en een directe leerervaring.
• Nadelen: kan wantrouwen creëren als feedback en psychologische veiligheid ontbreken, en leidt zonder goede opvolging niet automatisch tot structurele gedragsverandering.

E-learning (online modules)

E-learning is voor veel organisaties het startpunt van security awareness. Medewerkers volgen online modules over phishing, wachtwoorden en datalekken, vaak jaarlijks of bij indiensttreding.

• Voordelen: schaalbaar, relatief goedkoop en goed registreerbaar richting auditors en toezichthouders.
• Nadelen: beperkt effect als betrokkenheid ontbreekt, risico op afvinkgedrag en doorgaans onvoldoende om gedrag structureel te veranderen.

Tijd voor een reality check

Wat kost een hack je organisatie echt? Een gemiddeld datalek kost ongeveer 3,8 miljoen euro. Tel daar reputatieschade, omzetverlies en juridische kosten bij op en de impact wordt snel groter. Een cyberaanval wil je dus koste wat kost voorkomen.

Waar zit de zwakste schakel?

Niet in technologie, maar in menselijk gedrag:

• Herkennen medewerkers een phishingmail?
• Weten ze wat ze moeten doen?
• En doen ze dat ook daadwerkelijk?

Compliant of echt weerbaar?

Compliance is een vinkje. Weerbaarheid is een cultuur. Pas wanneer iedereen – van werkvloer tot bestuurskamer – weet wat er van hem of haar wordt verwacht, ben je voorbereid.

Wanneer moet je in actie komen?

Nu. Wachten op wetgeving betekent wachten op risico’s. NIS2 is al van kracht binnen de EU. De Nederlandse Cyberbeveiligingswet volgt naar verwachting medio 2026, maar voor veel organisaties geldt de zorgplicht nu al.

Conclusie: neem je verantwoordelijkheid

Cybersecurity is geen IT-onderwerp meer, maar een expliciete bestuursverantwoordelijkheid. Bestuurders die nu investeren in kennis, structuur en gedrag, verkleinen niet alleen de kans op incidenten, maar ook hun persoonlijke risico. Digitale weerbaarheid vraagt om leiderschap: de juiste vragen stellen, verantwoordelijkheid nemen en bouwen aan een cultuur waarin cyberveilig gedrag normaal is.