Vanaf medio 2026 geldt in Nederland de Europese NIS2-richtlijn. Daarmee kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij een cyberincident. Dat betekent dat u als ondernemer zelf verantwoordelijk bent als uw bedrijf niet voldoende maatregelen heeft genomen om digitale risico’s te beperken.
Volgens hoogleraar cybersecurity Bibi van den Berg (Universiteit Leiden) onderschatten veel bestuurders nog wat dit betekent. “Ze krijgen verantwoordelijkheden die ze niet kunnen overzien,” zegt ze. “Cybersecurity is inmiddels een strategisch onderwerp, maar veel ondernemers weten niet goed waar ze moeten beginnen.”
Veel mkb’ers maken zich zorgen over “Russische hackers” of grote buitenlandse aanvallen, terwijl dat voor de meeste bedrijven niet de grootste dreiging is. De echte risico’s liggen vaak dichter bij huis:
-
verouderde software,
-
slechte wachtwoordbeveiliging,
-
onbeveiligde RDP- of VPN-toegang,
-
of medewerkers die per ongeluk op een phishingmail klikken.
Toch wordt daar vaak te weinig in geïnvesteerd, terwijl juist deze basismaatregelen het verschil maken tussen een kleine verstoring en een groot incident.
Van den Berg pleit daarom voor een praktische aanpak: leg niet alle verantwoordelijkheid bij bestuurders, maar zorg dat ook leveranciers en IT-partners hun systemen ‘veilig aan de bron’ ontwerpen. Daarnaast is het belangrijk om meerdere lagen van beveiliging aan te brengen – vergelijk het met “stootkussens” die schade beperken, ook als één verdedigingslinie faalt.
De invoering van NIS2 is vertraagd tot 2026 – dat geeft u tijd om uw organisatie voor te bereiden. Gebruik die tijd goed.
-
Weet u wie binnen uw bedrijf verantwoordelijk is voor cybersecurity?
-
Heeft u inzicht in de risico’s?
-
En zijn uw technische en organisatorische maatregelen op orde?
Zonder die voorbereiding wordt NIS2 straks niet meer dan een verplicht vinkje op papier – terwijl het juist bedoeld is om uw bedrijf écht weerbaarder te maken.
Is uw organisatie al klaar voor NIS2?
