NIS2: de verantwoordelijkheid van het bestuursorgaan

Een van de opvallende vernieuwingen van NIS2 is dat de bestuursorganen rechtstreeks verantwoordelijk worden gesteld. Cybersecurity is niet langer een louter technische aangelegenheid; het wordt een governancethema, gedragen op het hoogste niveau van de organisatie.

Goedkeuren en toezicht houden

De bestuursorganen moeten de maatregelen voor het beheer van cybersecurityrisico’s goedkeuren en toezien op de uitvoering ervan. De verantwoordelijkheid kan niet volledig worden gedelegeerd aan een technische dienst: ze blijft die van de leiding.

Zich laten opleiden

De leden van het bestuursorgaan zijn ertoe gehouden een opleiding te volgen, om voldoende kennis te verwerven om de risico’s te identificeren en de toegepaste beheerpraktijken te beoordelen. Het CCB beval aan deze opleiding voor de leiding te plannen vóór april 2025. Daarnaast worden de entiteiten aangemoedigd om een vergelijkbare opleiding aan hun personeel aan te bieden.

Een verantwoordelijkheid die kan worden ingeroepen

De wet bepaalt dat de leidinggevenden aansprakelijk kunnen worden gesteld bij een tekortkoming. De autoriteiten beschikken over administratieve maatregelen en sancties, afgestemd op de categorie van de entiteit, de ernst, de duur, eventuele herhaling en de vastgestelde nalatigheid.

In de praktijk moet de leiding kunnen aantonen dat ze de risico’s heeft begrepen, de maatregelen heeft goedgekeurd en de toepassing ervan heeft opgevolgd — een vereiste van governance evenzeer als van cybersecurity.