Een lezer vroeg me:
Ik ben CISO bij een middelgroot bedrijf waarbij ICT van groot belang is. Overal lees ik dat bestuurders onder de NIS2-richtlijn persoonlijk aansprakelijk worden voor falende cyberbeveiliging. Ik ben degene die het securitybeleid opstelt en uitvoert — als er iets misgaat, ben ik dan in privé aansprakelijk? Kan een klant of een slachtoffer van een datalek mij persoonlijk een claim sturen?Ik snap de zorg, want het gonst inderdaad van de waarschuwingen over “persoonlijke aansprakelijkheid” onder NIS2. Maar zo snel als dit gaat het zeker niet.
In maart besprak ik de vraag of een slachtoffer van het Odido-datalek de directie persoonlijk kon aanspreken. Sindsdien is de Cyberbeveiligingswet (Cbw) aangenomen als de Nederlandse implementatie van de NIS2-richtlijn. Het wetsvoorstel ligt nu bij de Eerste Kamer en de regering mikt op inwerkingtreding per 1 juli 2026. We zijn er dus bijna.
Artikel 20 lid 1 van de NIS2-richtlijn bepaalt dat de bestuursorganen van essentiële en belangrijke entiteiten de cyberbeveiligingsmaatregelen moeten goedkeuren, toezien op de uitvoering ervan, en “aansprakelijk kunnen worden gesteld” voor inbreuken. Artikel 32 lid 6 gaat nog een stap verder en spreekt over “elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger” van een essentiële entiteit.
Een CISO heeft ondanks de C in de titel doorgaans geen bestuursfunctie. Zoals het NCSC het omschrijft: de CISO heeft een adviserende, coördinerende en controlerende rol. Je stelt het beleid op, je adviseert de directie, je stuurt de uitvoering aan — maar je bent niet degene die formeel bestuurt in de zin van artikel 2:9 BW.
Dat is essentieel, want de persoonlijke aansprakelijkheid uit de NIS2 is dus wat we in Nederland bestuurdersaansprakelijkheid noemen. Niet een aparte route waarbij iedere gedupeerde een schadeclaim jou in privé mag leggen.
Natuurlijk kun je door je werkgever wel aangesproken worden op nalatigheid bij je werk. En een datalek na handelen conform jouw advies kan daar aanleiding toe geven. Maar dat gaat om zaken als een berisping, demotie of uiteindelijk ontslag en niet om financiële claims.
Arnoud
Artikel 20 lid 1 van de NIS2-richtlijn heeft het over bestuursorganen, dus leden van het bestuur als bedoeld in het Burgerlijk Wetboek (Kamerstukken II 2024/25, 36746, nr. 3 (MvT), p. 44-45), maar art. 32 lid 6 is ruimer geformuleerd. De Cyber Security Raad heeft vorig jaar een handreiking opgesteld. Op pagina 39 wordt ingegaan op art. 32 lid 6 NIS2-richtlijn:
Een CISO kan dus aansprakelijk zijn wanneer een onderneming onrechtmatig jegens een derde handelt waarbij de CISO bevoegd is om beslissingen te nemen en een ernstig verwijt ten aanzien van zijn behoorlijke taakuitoefening gemaakt kan worden.Dus als je bent gevolmachtigd of in het beleid staat dat je verantwoordelijk bent voor dagelijkse operationele zaken oppassen dus!
En dus is het als ciso nodig om goed te documenteren. Zet in de verslagen duidelijk neer dat de bestuurder boven je besloten heeft niet de budgetten vrij te maken en dat ze duidelijk zijn geïnformeerd over de risico’s die dat met zich meebrengt.
NIS2 praat in de eerste instantie over “management bodies”. Dat zou in de juiste vertaling leidinggevenden worden. De term “bestuursorganen” is onjuist en als je er goed over nadenkt ook bijzonder vreemd. Een organisatie heeft een bestuursorgaan, geen bestuursorganen. Dat voelt een beetje als meerdere kapiteins op een schip. De CBW heeft de term bestuursorganen ook niet overgenomen. Die richt zich op de term “bestuur”. Dat is als je het goed beschouwd dus een verkeerde interpretatie van een verkeerde vertaling. Het resultaat is echter dat we ineens over een juridische term bestuur praten. Dat is in artikel 24 van de CBW ook zo beschreven en toegelicht (kijk vooral vanaf paragraaf 7 uit dat artikel). Daarmee kan je dus concluderen dat, tenzij de CISO een lid van het door de wet gedefinieerde bestuur van de organisatie is er geen sprake kan zijn van hoofdelijke aansprakelijkheid. Vervolgens heeft de CBW er ook voor gekozen om de referenties naar hoofdelijke aansprakelijkheid uit de wet te laten. De aansprakelijkheid in artikel 20 en 32 van de NIS2 richtlijn komen niet in de wet voor. De Memorie van toelichting geeft hierover aan dat hoofdelijke aansprakelijkheid al is vastgelegd in het bestuursrecht en dus niet apart geadresseerd moet worden in de CBW. Met andere woorden: hoofdelijke aansprakelijkheid is niet anders dan dat het altijd geweest is – de bestuurder kan hoofdelijk aansprakelijk gesteld worden voor het negeren van de wet en nalatigheid.
Goede duiding. Ik denk dat het vooral de vraag oplost of je naar buiten toe, naar de slachtoffers dus, persoonlijk aansprakelijk bent voor je nalaten. Dat is niet zo.