+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws

Bestuurdersaansprakelijkheid bij cyberaanvallen: wat verwacht de rechter?

november 5, 2025

Cyberaanvallen vormen een groeiende bedreiging voor organisaties. Maar wat gebeurt er als bestuurders te weinig doen om dat te voorkomen?

Rechters verwachten van bestuurders dat ze hun zorgplicht nakomen door goede cybersecuritymaatregelen te nemen. Ze kunnen bestuurders persoonlijk aansprakelijk stellen als die verantwoordelijkheid wordt verwaarloosd.

Deze aansprakelijkheid gaat trouwens verder dan alleen het betalen van boetes aan toezichthouders.

Een groep zakelijke professionals in een vergaderruimte bespreekt cyberbeveiliging en aansprakelijkheid tijdens een vergadering.

De invoering van de NIS2-richtlijn heeft de drempel voor bestuurdersaansprakelijkheid bij cyberveiligheid flink verlaagd. Waar je vroeger een stevige bewijslast nodig had voor persoonlijke aansprakelijkheid, legt deze Europese regelgeving nu hele concrete verplichtingen bij bestuurders neer.

Schending van die verplichtingen kan leiden tot persoonlijke schadevergoedingen, boetes en zelfs schorsing. Het is dus niet zomaar iets wat je als bestuurder kunt negeren.

Het juridische landschap rondom cybersecurity verandert snel. Bestuurders moeten weten wat rechters concreet van ze verwachten.

Van risicobeoordelingen tot incidentmeldingen, van personeelstraining tot technische beveiligingsmaatregelen—elk onderdeel van cyberbeveiliging kan gevolgen hebben als je je verantwoordelijkheid niet neemt.

Bestuurdersaansprakelijkheid bij cyberaanvallen: een actuele context

Een groep zakelijke professionals bespreekt cyberbeveiliging en juridische verantwoordelijkheid in een moderne vergaderruimte.

Bestuurders van Nederlandse organisaties krijgen steeds vaker te maken met persoonlijke aansprakelijkheid na cyberaanvallen. Hun verantwoordelijkheid strekt zich uit tot het nemen van goede maatregelen tegen cyberdreigingen die hun bedrijf kunnen raken.

Definitie en reikwijdte van bestuurdersaansprakelijkheid

Bestuurdersaansprakelijkheid betekent dat bestuurders persoonlijk verantwoordelijk zijn voor schade die ontstaat door hun handelen of juist door nalaten. Dit geldt ook bij cybersecurity-incidenten.

Interne aansprakelijkheid ontstaat als bestuurders tegenover hun eigen organisatie aansprakelijk worden gesteld. Dat gebeurt wanneer ze niet zorgvuldig genoeg digitale systemen hebben beschermd.

Externe aansprakelijkheid ontstaat als derde partijen schade lijden door een cyberaanval. Klanten, leveranciers of andere stakeholders kunnen bestuurders dan persoonlijk aanspreken.

De Nederlandse wet gebruikt de redelijk handelend bestuurder-norm. Bestuurders moeten handelen zoals een redelijk bekwaam bestuurder in vergelijkbare omstandigheden zou doen.

Bij cybersecurity betekent dat:

  • Je moet goede beveiligingsmaatregelen nemen
  • Je moet risico’s herkennen en aanpakken
  • Je moet snel reageren op bedreigingen
  • Je moet genoeg middelen vrijmaken voor digitale beveiliging

Toenemende cyberdreigingen in organisaties

Nederlandse organisaties krijgen dagelijks met allerlei cyberdreigingen te maken. Ransomware-aanvallen zijn de laatste jaren flink toegenomen en raken zowel grote als kleine bedrijven.

Phishing-campagnes richten zich op medewerkers om toegang tot bedrijfssystemen te krijgen. Zulke aanvallen worden steeds slimmer en lastiger te herkennen.

Data-inbreuken kunnen leiden tot het lekken van persoonlijke gegevens van klanten. Dat levert niet alleen hoge boetes op onder de AVG, maar ook flinke reputatieschade.

De financiële gevolgen van cyberaanvallen zijn pittig:

  • Directe kosten voor herstel van systemen
  • Productieverlies door uitval
  • Juridische kosten en boetes
  • Verlies van klantvertrouwen

Bestuurders kunnen eigenlijk niet meer zeggen dat ze niet wisten van deze risico’s. De rechter verwacht dat ze proactief handelen om hun organisatie te beschermen.

Verantwoordelijkheid van bestuurders bij digitale risico’s

Bestuurders hebben een actieve zorgplicht voor cybersecurity binnen hun organisatie. Je kunt die verantwoordelijkheid niet zomaar doorschuiven naar de IT-afdeling of een externe partij.

De governance-rol van bestuurders bestaat uit:

  • Het vaststellen van het cybersecurity-beleid
  • Toezicht houden op de uitvoering van beveiligingsmaatregelen
  • Regelmatig digitale risico’s evalueren
  • Genoeg budget en mensen toewijzen

Persoonlijke aansprakelijkheid ontstaat als bestuurders nalatig zijn geweest in hun toezicht. Dat gebeurt bijvoorbeeld bij:

  • Te weinig investeren in beveiliging
  • Waarschuwingen van experts negeren
  • Kritieke beveiligingsupdates uitstellen
  • Slechte incident response procedures

De NIS2-richtlijn maakt die verantwoordelijkheden alleen maar belangrijker. Bestuurders van organisaties die onder deze regels vallen, moeten beveiligingsmaatregelen expliciet goedkeuren en het toezicht zelf regelen.

Rechters kijken steeds kritischer of bestuurders hun duty of care zijn nagekomen. Ze letten op de concrete acties die bestuurders nemen tegen cyberdreigingen.

Juridisch kader: Europese en Nederlandse regelgeving

Een groep zakelijke professionals bespreekt juridische aspecten van bestuurdersaansprakelijkheid bij cyberaanvallen in een moderne kantooromgeving.

De NIS2-richtlijn verplicht organisaties in kritieke sectoren tot cyberbeveiligingsmaatregelen en raakt bestuurders direct. Nederland voert deze Europese wetgeving in via de Cyberbeveiligingswet, die persoonlijke aansprakelijkheid mogelijk maakt.

De NIS2-richtlijn: kernpunten en reikwijdte

De NIS2-richtlijn versterkt de cybersecurity in de hele EU. Het doel? Een hoog niveau van netwerk- en informatiesysteembeveiliging garanderen.

Deze update van de oude NIS-richtlijn geldt voor middelgrote en grote organisaties in bepaalde sectoren.

De richtlijn bevat vier hoofdverplichtingen:

  • Registratieplicht: Organisaties onder de richtlijn moeten zich registreren
  • Meldplicht: Incidenten moeten binnen 24 uur bij toezichthouders gemeld worden
  • Zorgplicht: Bedrijven moeten zelf risico’s beoordelen en passende maatregelen nemen
  • Toezichtplicht: Essentiële entiteiten krijgen voor- en achteraftoezicht, belangrijke entiteiten alleen achteraf

De richtlijn geeft bestuurders expliciete bevoegdheid om cybersecuritybeslissingen te nemen. Ze moeten hun organisatie controleren en zorgen dat alles wordt nageleefd.

De Cyberbeveiligingswet en implementatie in Nederland

Nederland moest de NIS2-richtlijn uiterlijk oktober 2024 omzetten in nationale wetgeving. Dat loopt wat vertraging op.

De Nederlandse Cyberbeveiligingswet maakt bestuurdersaansprakelijkheid een belangrijk instrument. De wet maakt het mogelijk bestuurders persoonlijk aansprakelijk te stellen, boetes op te leggen en zelfs te schorsen.

Dit is anders dan het normale uitgangspunt dat bestuurders meestal niet persoonlijk aansprakelijk zijn voor daden van de rechtspersoon.

Voor aansprakelijkheid geldt dat bestuurders hun taak onbehoorlijk hebben vervuld én dat hen een persoonlijk ernstig verwijt kan worden gemaakt.

De NIS2-richtlijn verplicht lidstaten specifiek om ervoor te zorgen dat bestuurders aansprakelijk kunnen worden gesteld.

Bestuurders kunnen aansprakelijk worden voor schade die ontstaat door het niet naleven van de verplichtingen uit de richtlijn.

Sectoren onder de NIS2-regelgeving

De NIS2-richtlijn maakt verschil tussen essentiële en belangrijke entiteiten in verschillende sectoren.

Essentiële entiteiten zijn onder meer de energiesector, vervoer, bankwezen, financiële markten, gezondheidszorg, drinkwater- en afvalwaterbeheer.

Ook digitale infrastructuur, ICT-diensten, overheid en ruimtevaart horen bij de essentiële entiteiten. Deze sectoren krijgen extra toezicht vanwege hun kritieke rol.

Belangrijke entiteiten zijn bijvoorbeeld post- en koeriersdiensten, afvalstoffenbeheer en digitale aanbieders. Ook fabrikanten van medische hulpmiddelen, elektrische apparatuur en transportmiddelen vallen hieronder.

Onderzoeksinstellingen kunnen soms ook onder de regelgeving vallen. Organisaties kunnen met speciale tools van de overheid checken of ze onder de werkingssfeer vallen.

Specifieke verplichtingen en zorgplichten voor bestuurders

Bestuurders hebben onder de NIS2-richtlijn een wettelijke zorgplicht voor cyberbeveiliging. Ze moeten concrete maatregelen treffen.

De rechter verwacht dat ze actief toezicht houden op informatiesystemen en incidenten snel melden.

Beveiligingsmaatregelen en risicobeheer

Bestuurders moeten echt een grondige risicobeoordeling doen van alle IT-systemen in hun organisatie. Zo’n beoordeling vormt de basis voor het nemen van passende beveiligingsmaatregelen.

De zorgplicht betekent dat bestuurders actie moeten ondernemen, zoals:

  • Fysieke beveiliging van servers en netwerkapparatuur
  • Toegangscontrole met sterke authenticatie

Ze moeten ook zorgen voor regelmatige updates van software en systemen. Back-up procedures zijn nodig om de bedrijfscontinuïteit te waarborgen.

Verder hoort daar het opzetten van incident response procedures bij voor het geval er iets misgaat. Het is niet voldoende om alleen te vertrouwen op IT-specialisten.

Bestuurders blijven zelf eindverantwoordelijk voor de cybersecurity van hun organisatie. De rechter kijkt of ze redelijke maatregelen hebben getroffen die passen bij de omvang en aard van de organisatie.

Goede documentatie van alle beveiligingsmaatregelen is onmisbaar. Je moet duidelijk kunnen aantonen welke stappen je hebt gezet om cyberrisico’s te beheersen.

Meldplicht bij incidenten en toezicht

Bestuurders hebben een strikte meldplicht van 24 uur bij significante cyberincidenten. Die klok gaat meteen lopen zodra je het incident ontdekt.

De meldplicht geldt als incidenten:

  • Essentiële diensten verstoren
  • Persoonsgegevens in gevaar brengen
  • De bedrijfsvoering flink beïnvloeden

Toezichthouders houden scherp in de gaten of organisaties zich aan de regels houden. Ze kunnen boetes opleggen en extra maatregelen eisen als het misgaat.

Bestuurders moeten een intern toezichtsysteem opzetten. Dit betekent regelmatig de cyberbeveiliging evalueren en incidenten goed bijhouden.

Externe audits kunnen handig zijn om compliance aan te tonen. Rechters waarderen het als bestuurders proactief risico’s opsporen en aanpakken.

Opleiding en kennisverwerving voor bestuurders

De rechter verwacht dat bestuurders up-to-date kennis hebben van cyberdreigingen en beveiligingsmaatregelen. Onwetendheid is geen geldig excuus.

Bestuurders moeten zich regelmatig bijscholen over:

  • Nieuwe cyberdreigingen zoals ransomware en phishing
  • Wettelijke ontwikkelingen in cybersecurity

Ook best practices voor risicobeheer en technische trends in IT-beveiliging horen erbij. Certificeringen in cybersecurity kunnen helpen om je competentie te laten zien.

Veel bestuurders volgen gespecialiseerde trainingen over Network and Information Security. Het is trouwens ook belangrijk dat medewerkers goed getraind zijn in cyberbeveiliging.

Bestuurders moeten zorgen voor een sterke veiligheidscultuur binnen het bedrijf. Externe adviseurs kunnen soms helpen bij ingewikkelde cybersecurity-vraagstukken, maar de eindverantwoordelijkheid blijft altijd bij de bestuurder.

Wanneer is een bestuurder persoonlijk aansprakelijk?

Bestuurders zijn meestal niet persoonlijk aansprakelijk voor schulden van hun organisatie. Dat verandert als hun ernstig verwijt kan worden gemaakt bij cyberaanvallen of datalekken.

Interne versus externe aansprakelijkheid

Interne aansprakelijkheid ontstaat als een bestuurder tekortschiet tegenover de eigen organisatie. Dit gebeurt vaak als er te weinig is gedaan aan cyberbeveiliging en dat tot schade leidt.

De organisatie kan de bestuurder aanspreken voor:

  • Kosten voor dataherstel
  • Boetes van toezichthouders
  • Gederfde inkomsten
  • Reputatieschade

Externe aansprakelijkheid draait om claims van derden tegen de bestuurder persoonlijk. Bij een faillissement door cyberincidenten kunnen crediteuren zo’n claim indienen.

Klanten of zakenpartners kunnen ook directe vorderingen instellen. Zeker als hun gegevens zijn gelekt door nalatigheid van het bestuur.

Juridische drempels en bewijs van nalatigheid

De rechter gebruikt de ernstig verwijt norm. Gewone fouten zijn niet genoeg voor persoonlijke aansprakelijkheid.

Er moet dus sprake zijn van grove nalatigheid of bewust risicovol gedrag. De bewijslast ligt bij de eiser:

  • Aantonen dat de schade voortkomt uit een onrechtmatige daad
  • Bewijzen dat er een ernstig verwijt is aan de bestuurder
  • Laten zien dat het handelen direct tot schade heeft geleid

Bij cyberincidenten kijkt de rechter naar:

  • Preventieve maatregelen die ontbraken
  • Reactiesnelheid na het incident
  • Naleving van wettelijke verplichtingen

De vraag is altijd: zou een redelijk bekwaam bestuurder anders hebben gehandeld?

Voorbeelden uit de rechtspraak

Nederlandse rechtbanken hebben bestuurders aansprakelijk gesteld in verschillende cyberzaken. In één geval werd een bestuurder persoonlijk aangesproken na een datalek waarbij klantgegevens werden gestolen.

Het bleek dat:

  • Beveiligingssoftware jarenlang niet geüpdatet was
  • IT-waarschuwingen werden genegeerd
  • Back-up procedures volledig ontbraken

In een andere zaak leidde ransomware tot het faillissement van een MKB-bedrijf. Crediteuren stelden de bestuurder aansprakelijk voor hun financiële schade.

De rechter vond dat ernstig verwijt bewezen was omdat basismaatregelen ontbraken. De bestuurder moest de schade persoonlijk vergoeden aan leveranciers en werknemers.

Sancties en gevolgen bij overtredingen

De Cyberbeveiligingswet brengt verschillende sancties met zich mee voor organisaties en bestuurders die hun verplichtingen niet nakomen. Boetes kunnen oplopen tot €1.000.000 voor organisaties.

Bestuurders kunnen persoonlijk worden aangesproken voor schorsing en andere gevolgen.

Boetes voor organisaties en individuele bestuurders

Organisaties die onder de Cyberbeveiligingswet vallen, kunnen een boete krijgen van maximaal €1.000.000 bij niet-naleving. Deze sancties richten zich meestal op de organisatie zelf.

Bestuurders van essentiële organisaties lopen ook persoonlijke risico’s. Ze kunnen worden geschorst als ze hun toezicht op cyberbeveiliging niet goed uitvoeren.

De hoogte van de boete hangt af van:

  • Ernst van de overtreding
  • Omvang van de organisatie
  • Impact van het cyberincident
  • Mate van nalatigheid

Individuele bestuurders worden vooral aansprakelijk gehouden als ze hun zorgplicht hebben geschonden. Dat betekent dat ze onvoldoende toezicht hielden op de uitvoering van cyberbeveiligingsmaatregelen.

Mogelijke bestuursrechtelijke en strafrechtelijke gevolgen

Naast financiële boetes kunnen bestuurders andere juridische gevolgen ondervinden. Bestuursrechtelijke sancties omvatten vooral schorsing bij essentiële organisaties.

Strafrechtelijke vervolging blijft vooralsnog zeldzaam. Er zijn amper voorbeelden in de Nederlandse rechtspraak van bestuurders die strafrechtelijk zijn vervolgd voor slechte cyberbeveiliging.

De bestuurdersaansprakelijkheid kan zich ook uitstrekken tot civiele aansprakelijkheid. Bestuurders kunnen persoonlijk aansprakelijk zijn voor schade die het bedrijf lijdt door cyberaanvallen.

Belangrijke juridische risico’s zijn:

  • Civiele aansprakelijkheid jegens derden
  • Interne aansprakelijkheid jegens de organisatie
  • Reputatieschade voor bestuurders persoonlijk

Verzekeringen en beperking van risico’s

Cyber-verzekeringen kunnen een deel van de financiële schade opvangen. Bestuurders moeten echter goed opletten welke voorwaarden gelden en wat wel of niet gedekt is.

Veel verzekeringen dekken geen boetes bij bewuste nalatigheid. Bestuurders die hun zorgplicht schenden, zijn dus vaak niet verzekerd tegen de gevolgen.

Bestuurdersaansprakelijkheidsverzekeringen bieden extra bescherming. Zulke polissen dekken vaak persoonlijke aansprakelijkheid van bestuurders bij cybersecurity-incidenten.

Toch blijft het nemen van preventieve maatregelen essentieel:

  • Regelmatige risico-analyses uitvoeren
  • Goede cyberbeveiligingsmaatregelen nemen
  • Bestuurders opleiden over cyberrisico’s
  • Toezicht organiseren op naleving

Waarschijnlijk zullen we de komende tijd vaker zien dat bestuurders aansprakelijk worden gesteld voor slechte cyberbeveiliging.

Praktische aanpak: hoe kunnen bestuurders aansprakelijkheidsrisico’s beperken?

Bestuurders kunnen hun aansprakelijkheidsrisico’s bij cyberaanvallen beperken door gericht te laten zien dat ze zorgvuldig zijn geweest. Daarvoor moet je cybersecurity echt in alle bedrijfsprocessen verweven en zorgen voor voldoende professionele expertise.

Integratie van cybersecurity in bedrijfsprocessen

Bestuurders moeten cybersecurity echt verankeren in hun bedrijfsvoering. Beveiligingsmaatregelen horen bij alle belangrijke beslissingen.

Een risicobeoordelingssysteem vormt het fundament. Het bedrijf moet regelmatig alle it-systemen en processen checken op kwetsbaarheden.

Ze leggen deze beoordeling vast en ondernemen daarna concrete acties. Zo blijft het geen papieren tijger.

Beleidsdocumenten zijn onmisbaar voor juridische bescherming. De organisatie heeft duidelijke procedures nodig voor toegangsbeheer tot systemen.

Ook dataopslag, back-ups, incident response en medewerkerstrainingen krijgen een plek in het beleid. Zonder heldere afspraken gaat het snel mis.

Bestuurders moeten laten zien dat ze deze regels echt naleven. Denk aan controles en updates van procedures.

Wie dat niet goed regelt, loopt risico op persoonlijke aansprakelijkheid.

Aansturing van afdelingen en cultuurbevordering

De bestuurder moet een cyberbewuste cultuur stimuleren. Dat vraagt om duidelijke communicatie naar alle medewerkers.

Trainingen en bewustwording zijn onmisbaar. Medewerkers krijgen regelmatig trainingen om phishing, social engineering en andere bedreigingen te herkennen.

Ze leggen deze trainingen vast en evalueren ze. Het blijft niet bij één keer.

De bestuurder wijst duidelijke verantwoordelijkheden toe. Elke afdeling krijgt eigen cybersecuritytaken.

IT regelt de technische kant, HR pakt de trainingen op, en het management houdt toezicht. Iedereen weet waar hij of zij aan toe is.

Rapportagestructuren houden de vinger aan de pols. Bestuurders krijgen updates over incidenten, kwetsbaarheden en verbeteringen.

Zo tonen ze aan dat ze betrokken zijn bij cyberbeveiliging. Je kunt er niet omheen.

Belang van certificeringen en keurmerken

Certificeringen helpen bestuurders aantonen dat hun organisatie aan beveiligingsstandaarden voldoet. Zo’n externe validatie geeft wat meer rust.

ISO 27001 is de bekendste voor informatiebeveiliging. Deze standaard vraagt om een systematische aanpak van risico’s.

Organisaties moeten hun beveiligingsmaatregelen vastleggen, uitvoeren en steeds verbeteren. Het is een proces, geen eenmalige actie.

NEN 7510 geldt voor zorgorganisaties. SOC 2 is vooral voor serviceproviders die klantdata verwerken.

Deze certificaten laten zien dat het bedrijf internationale best practices volgt. Het is een soort kwaliteitslabel.

Bestuurders investeren in het behalen en behouden van certificeringen. Het proces dwingt tot een kritische blik op de eigen beveiliging.

Externe audits brengen zwakke plekken aan het licht. Dat is soms confronterend, maar wel nodig.

Ondersteuning door professioneel onderzoek en advies

Externe experts helpen bestuurders bij lastige cybersecuritykeuzes. Hun advies versterkt de juridische positie, want je laat zien dat je deskundigheid inroept.

Penetratietests door ethische hackers onthullen zwakke plekken in systemen. Die tests moet je regelmatig doen en goed vastleggen.

De uitkomsten bieden houvast voor waar je moet investeren. Het is geen overbodige luxe.

Cybersecurity audits bekijken het hele beveiligingsplaatje van de organisatie. Consultants nemen beleid, procedures en techniek onder de loep.

Hun aanbevelingen bieden een routekaart voor verbetering. Je hoeft het wiel niet zelf uit te vinden.

Bestuurders investeren ook in juridisch advies over aansprakelijkheidsrisico’s. Een advocaat met cyberkennis helpt bij contracten, verzekeringen en incident response.

Verzekeringen zijn het vangnet. Cyber liability-verzekeringen dekken schade door datalekken en aanvallen.

Verzekeraars stellen vaak eisen aan je beveiliging. Dat zet bestuurders aan tot actie.

Veelgestelde Vragen

Bestuurders hebben duidelijke verplichtingen rond cybersecurity. Ze kunnen persoonlijk aansprakelijk worden als ze nalatig zijn.

De rechter kijkt naar hun maatregelen en professionele zorgvuldigheid. Dat is soms best streng.

Hoe wordt bestuurdersaansprakelijkheid beoordeeld in het geval van een cyberaanval?

De rechter vraagt zich af of bestuurders zich gedragen zoals een redelijk bekwame bestuurder zou doen. Dat heet de professionele zorgvuldigheidsnorm.

Belangrijk is of bestuurders zich verdiept hebben in cyberrisico’s. Ze moeten kunnen laten zien welke maatregelen ze namen.

De rechter kijkt naar hun handelen vóór, tijdens en na de aanval. Ook of ze genoeg middelen beschikbaar stelden.

Welke preventieve maatregelen kunnen bestuurders treffen om aansprakelijkheid bij cyberaanvallen te vermijden?

Bestuurders laten zich informeren over cyberrisico’s door experts. Zo nemen ze hun verantwoordelijkheid serieus.

Ze stellen een cybersecuritybeleid op. Dit beleid krijgt regelmatig een update.

Bestuurders reserveren budget voor cybersecurity. Ook laten ze incidentresponsplannen maken en testen.

Onder de NIS2-richtlijn volgen bestuurders verplichte cybertrainingen. Ze keuren beveiligingsmaatregelen expliciet goed.

Wat zijn de juridische gevolgen voor bestuurders na een cyberaanval op hun onderneming?

Bestuurders kunnen persoonlijk aansprakelijk zijn voor schade door cyberaanvallen. Zeker als er sprake is van nalatigheid.

Ze kunnen financieel aansprakelijk zijn voor schade aan derden. Ook interne schade telt mee.

Bij grove nalatigheid volgt mogelijk strafrechtelijke vervolging. Boetes of zelfs gevangenisstraf zijn dan niet uitgesloten.

Toezichthouders kunnen sancties opleggen. Onder NIS2 kunnen bestuurders zelfs worden geschorst.

Op welke manier beïnvloedt nalatigheid de aansprakelijkheid van bestuurders bij cyberincidenten?

Nalatigheid ontstaat als bestuurders hun zorgplicht laten liggen. Ze handelen dan niet zoals je van een redelijk bestuurder mag verwachten.

Voorbeelden zijn het negeren van beveiligingsadviezen of niet investeren in cybersecurity. Ook geen incidentresponsplan opstellen telt mee.

De rechter kijkt of bestuurders bewust risico’s namen. Waarschuwingen negeren maakt het erger.

Hoe kan een bestuurder bewijzen dat er voldoende inspanningen zijn geleverd om cyberaanvallen te voorkomen?

Bestuurders leggen vast welke cybersecuritymaatregelen ze namen. Denk aan beleid, procedures en investeringen.

Verslagen van bestuursvergaderingen over cybersecurity zijn belangrijk bewijs. Ook rapporten van externe audits helpen.

Trainingsbewijzen tonen aan dat bestuurders zich lieten informeren. Certificaten van NIS2-trainingen zijn essentieel.

Incidentresponsplannen en testresultaten laten voorbereiding zien. Contracten met cybersecurityexperts onderstrepen een professionele aanpak.

Welke specifieke verantwoordelijkheden hebben bestuurders met betrekking tot cybersecurity?

Bestuurders houden toezicht op de implementatie van cybersecuritymaatregelen. Ze moeten beveiligingsmaatregelen expliciet goedkeuren.

Volgens NIS2 moeten bestuurders zorgen voor naleving van alle verplichtingen. Ze moeten ook aantoonbare kennis hebben van cyberrisico’s—en dat is soms best een uitdaging.

Bestuurders verankeren cyberweerbaarheid in het organisatiebeleid en de cultuur. Dat gaat echt verder dan alleen technische maatregelen treffen.

Ze zijn verantwoordelijk voor voldoende budget en middelen voor cybersecurity. Daarnaast moeten ze beveiligingsmaatregelen regelmatig laten evalueren.

Previous
WhatsApp-berichten als bewijs bij ontslag: waar ligt de grens?
Next
Een ouder weigert mee te werken aan verhuizing: opties en stappen
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80