Zijn bestuurders de sjaak bij een hack?

maandag, 23 februari 2026 (16:26) - Frankwatching

In dit artikel:

NIS2 en DORA verschuiven de verantwoordelijkheid voor digitale veiligheid expliciet naar de bestuurslaag: bestuurders moeten aantoonbaar sturen op cyberweerbaarheid en kunnen persoonlijk aansprakelijk worden gehouden. Waar dat lange tijd als een IT-aangelegenheid werd gezien, vraagt de huidige realiteit—waar digitale incidenten direct invloed hebben op continuïteit, reputatie en financiële resultaten—om bestuurlijk ingrijpen.

Belangrijkste feiten
- Wie: Bestuurders van organisaties binnen de EU (en in de toekomst concreter uitgewerkt in de Nederlandse Cyberbeveiligingswet).
- Wat: Europese regels (NIS2, en voor de financiële sector DORA) leggen bestuurlijke zorgplicht en rapportageverplichtingen vast; nalatigheid kan juridische gevolgen hebben.
- Wanneer: NIS2 is al van kracht in de EU; de Nederlandse uitwerking volgt naar verwachting medio 2026. Een recent voorbeeld van de impact was de datalekbij Odido begin februari 2026 waarbij gegevens van circa 6,2 miljoen (oud-)klanten zijn ingezien.
- Waar: binnen de Europese Unie, met specifieke nationale wetgeving in voorbereiding.
- Waarom: omdat veel incidenten klein beginnen (phishing, social engineering) maar grote gevolgen hebben — gemiddeld kost een datalek ongeveer €3,8 miljoen, exclusief reputatie- en omzetverlies.

Wat bestuurders concreet moeten doen
- Toon aan dat cybersecurity structureel in risicomanagement en besluitvorming is ingebed; “IT is niet genoeg” is geen verdediging meer.
- Vraag naar bewijs: beleidskaders, incidentresponse-plannen, audits, metrics en rapportages die aantonen dat maatregelen werken.
- Stimuleer dataminimalisatie en governance rondom klantgegevens.

Menselijk gedrag als brandpunt
- De zwakste schakel blijft vaak de mens. Effectieve awareness vereist gedragsverandering, niet alleen verplichte cursussen.
- Trainingsvormen die echt effect sorteren: interactieve simulaties/serious games (ervaring vanuit aanvallersperspectief), realistische phishingsimulaties en blended e-learning met meetbare follow-up.

Kortom: cybersecurity vraagt leiderschap. Bestuurders die nu investeren in structuur, bewijsvoering en cultuurverandering verkleinen zowel de kans op incidenten als hun eigen juridische risico. Wachten op wetgeving is geen optie; aantoonbare actie is de nieuwe norm.