In de snel veranderende digitale wereld is cybersecurity een strategische verantwoordelijkheid van het bestuur en essentieel voor de continuïteit van de bedrijfsvoering. Met de toenemende geopolitieke instabiliteit, de groeiende afhankelijkheid van (cloud)providers en de strenge eisen van nieuwe wetgeving zoals NIS2 en de aankomende Cyberbeveiligingswet (Cbw) – met een verwachte inwerkingtreding in het tweede kwartaal van 2026, kunnen bestuurders zich niet langer veroorloven om cyberbeveiliging als secundaire prioriteit te behandelen. Het beschermen van de digitale infrastructuur van een organisatie is nu een cruciale factor voor het behoud van klantvertrouwen en de reputatie van het bedrijf. Joost van Dongen en Niels van den Bogaard leggen in deze blog uit wat bestuurders dienen te weten, maar vooral ook kunnen doen ten tijde van deze ontwikkelingen.
Datum: 24 juni 2025
Gewijzigd 03 juli 2025
Geschreven door: Joost van Dongen en Niels van den Bogaard
Leestijd: +/- 4 minuten
De trend naar 'cloudmigratie' leek lange tijd onomkeerbaar, maar steeds meer bedrijven heroverwegen deze strategieën. Geopolitieke instabiliteit speelt hierbij een grote rol. Amerikaanse cloudleveranciers vallen onder wetgeving zoals de CLOUD Act, waardoor Europese data mogelijk in de VS toegankelijk kan worden. Dit kan de controle over vertrouwelijke gegevens aantasten. Bovendien vergroot de afhankelijkheid van hyperscalers de kwetsbaarheid van systemen; een storing of cyberaanval in de cloud kan enorme gevolgen hebben voor de bedrijfsvoering.
Daarnaast speelt de ketenverantwoordelijkheid onder NIS2 een belangrijke rol. Die wet verplicht organisaties om toezicht te houden op de cyberweerbaarheid van leveranciers. Dit wordt vaak bemoeilijkt door de beperkte (fysieke) controle over cloudomgevingen, die vaak afhankelijk zijn van contractuele regelingen. In dit licht kan het aantrekkelijker zijn om kritieke systemen 'on-premise' te houden of gebruik te maken van hybride oplossingen, vooral voor organisaties die werken met vitale infrastructuur of strategische bedrijfsinformatie.
Bestuurders kunnen niet langer de verantwoordelijkheid voor cybersecurity volledig aan de Chief Information Security Officer (CISO) delegeren, zie ook de handreiking van de Cyber Security Raad (CSR). Bestuurders moeten actief betrokken zijn en zich regelmatig (laten) informeren over de staat van de cyberveiligheid binnen hun organisatie. Dit houdt in dat ze niet alleen op de hoogte moeten zijn van dreigingen en incidenten, maar ook van de effectiviteit van de maatregelen die genomen worden.
Essentiële vragen die bestuurders periodiek aan zichzelf en de CISO moeten stellen, zijn onder andere:
De communicatie tussen bestuur en CISO moet niet sporadisch zijn, maar structureel, bij voorkeur elk kwartaal, én moet inzichten bieden in dreigingstrends, incidenten en Key Control Indicators (KCI's).
De wetgeving die de aansprakelijkheid voor cyberincidenten regelt, is streng en heeft vergaande gevolgen. De NIS2 en de Nederlandse (concept) implementatiewetgeving Cbw, legt een collectieve verantwoordelijkheid bij bestuurders voor de beveiliging van hun organisaties tegen cyberrisico’s. Dit betekent dat bestuurders niet alleen verantwoordelijk zijn voor het goedkeuren en toezien op de cyberveiligheidsmaatregelen, maar ook persoonlijk aansprakelijk kunnen worden gesteld als het fout gaat en zij onvoldoende toezicht hebben gehouden op de uitvoering van de cyberbeveiliging.
De wetgeving vereist tevens dat bestuurders binnen twee jaar aantoonbare kennis hebben van cyberrisico’s en risicobeheersingsmaatregelen. Dit betekent dat bestuurders regelmatig trainingen moeten volgen om op de hoogte te blijven van de snel evoluerende dreigingen en technologieën.
Bestuurders hoeven geen technische experts te worden, maar ze moeten wél in staat zijn om strategisch geïnformeerde beslissingen te nemen over de cyberveiligheid van hun organisatie. De handreiking van de Cyber Security Raad biedt een aantal waardevolle handvatten om deze verantwoordelijkheid serieus te nemen.
Daarnaast moeten bestuurders ervoor zorgen dat hun organisatie een solide governance-structuur heeft rondom cybersecurity, waarbij de CISO voldoende middelen en autonomie krijgt om zijn of haar taken effectief uit te voeren. Dit betekent ook dat er een duidelijke rapportagestructuur moet zijn, zodat bestuurders regelmatig op de hoogte worden gesteld van de status van de cyberbeveiliging.
Cybersecurity is niet enkel juridisch van aard, maar ook technisch. En voor een grotere beheersing van dat laatste, kan een (gedeeltelijke) on-premise oplossing werken.
De dreigingen op het gebied van cybersecurity zijn reëel, de wetgeving is streng en de strategische risico's zijn groot. Bestuurders moeten zich realiseren dat cybersecurity een IT-vraagstuk is alsmede een kwestie van goed bestuur. Dit vraagt om strategische betrokkenheid, periodieke evaluatie en het stellen van de juiste vragen. Door actief toezicht te houden op de cyberveiligheid kunnen bestuurders niet alleen juridische risico’s beperken, maar ook de veerkracht en reputatie van hun organisatie waarborgen.
Het is de verantwoordelijkheid van elke bestuurder om te zorgen voor een veilig digitaal fundament dat de continuïteit van de bedrijfsvoering ondersteunt. Vragen of niet weten waar te moeten starten? Onze specialisten staan klaar om u te ondersteunen bij de juridische compliance én hebben het netwerk om IT partijen in te schakelen.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.