Nieuwe ICT-wetgeving: NIS2 maakt ondernemers persoonlijk aansprakelijk voor cyberfalen.

Naar verwachting vanaf volgend voorjaar (2026) kan iedere ondernemer, directeur of bestuurder van een middelgroot of groot bedrijf persoonlijk aansprakelijk worden gesteld voor cyberlekken.

Dat geldt zeker voor personen die werken in essentiële of belangrijke sectoren die zó belangrijk zijn dat de samenleving er van afhangt. Daarbij kun je denken aan ziekenhuizen, energiebedrijven of het waternet. Maar het geldt ook voor bedrijven die aan deze sectoren leveren.

Dit is wat er nieuw is: de wet maakt dit echt jouw verantwoordelijkheid: er is geen abstracte bestuurdersaansprakelijkheid meer. Juist ja, je wordt dus letterlijk persoonlijk aansprakelijk gesteld bij cyberlekken volgens de Cyberbeveiligingswet (Cbw).

Wat is NIS2? 

NIS2, is een Europese richtlijn die op EU-niveau al van kracht is sinds 17 oktober 2024 en in enkele omringende landen reeds geïmplementeerd. Nederland heeft de nationale implementatie van de Cyberbeveiligingsweg (Cbw), die NIS2 omzet in Nederlandse wetgeving, vertraagd tot naar verwachting het tweede kwartaal van 2026.

De NIS2 breidt het bereik uit naar veel meer bedrijven – ook MKB’ers – en stelt duidelijke eisen op het gebied van cyberveiligheid. Denk aan het beveiligen van systemen, veilige ketens en melding van incidenten binnen 24 uur. 

Oorspronkelijk zou de wet in het najaar van 2025 ingaan, maar er wordt nog gesleuteld aan de tekst. Het is echter wel zeker dat deze wet er komt en dus grote gevolgen heeft voor het MKB, vooral als je in een keten zit of onderdeel van een keten bent waar bedrijven en organisaties in zitten die van ‘cruciaal belang’ zijn voor de samenleving. 

Waarom het jou raakt 

ICT is voor jou een middel, geen missie. Maar onder NIS2 moet je laten zien dat jouw ICT-opzet niet de zwakke schakel is in een keten die cruciaal is. Een misser kan jouw aansprakelijkheid activeren. En dan staat niet jouw bedrijf voor de rechter, maar jij persoonlijk. 

Concreet ben je NIS2-plichtig als je: 

• Meer dan 50 medewerkers hebt. 
• Een jaaromzet hebt van meer dan €10 miljoen.  
• Een essentiële of belangrijke entiteit bent. 
• Leverancier bent in een keten die wél onder NIS2 valt .

De kernveranderingen: 

• Persoonlijke verantwoordelijkheid   
  Het gaat niet meer alleen om je bedrijf, maar om jou. Als bestuurder of eigenaar kun je persoonlijk aansprakelijk worden gesteld bij nalatigheid. 
• Verantwoordelijkheid door de hele keten     
  Val jij uit, dan kunnen je partners daar last van krijgen.  
  Veiligheid in je eigen ICT is niet genoeg: je keten moet ook deugen. 
• Handhaving en boetes              
  Toezichthouders kunnen dwars gaan liggen met boetes tot miljoenen of percentages van je omzet. 

Wat kun je nu doen? 

• Breng in kaart of je met écht cruciale partijen werkt (zorg, energie, infrastructuur). 
• Beoordeel je cyberveiligheid: risicoanalyse, basismaatregelen, en incidentrespons. 
• Veranker binnen je organisatie: wie is er nú en straks verantwoordelijk? 
• Neem contact op met je ICT-leverancier. Zij kunnen je vaak al meer vertellen en zij kunnen ongetwijfeld jou ook adviseren. Zo kun je bijvoorbeeld ook je vragen aan ons stellen. 
• Raadpleeg ook zo veel mogelijk en zo regelmatig mogelijk de informatie van de Rijksoverheid.  

Heb je vragen? 

Aarzel niet. Stel ze gewoon. 

Stuur een e-mail naar secretariaat@mackaay.nl  

Luister ook naar onze podcast: bijvoorbeeld naar aflevering 1

Edwin Mackaay (connect met mij op Linkedin)
Founder / directeur Mackaay ICT Services in Hoofddorp