Blog

NIS2 Artikel 20:

Wanneer de kapitein de brug niet mag verlaten.

De verantwoordelijkheid van het management onder NIS2 en de Cybersecuritywet en waarom 'betrokkenheid' een vaardigheid moet worden.

Ik zeg vaak dat cybersecurity zich net zo laat zien als zeemanschap: niet als de zee kalm is, maar wanneer het waait en iemand roept dat er iets brandt in de machinekamer. Dan maakt het niet uit hoe mooi het handboek is. De vraag is of de kapitein op de brug is, of de bemanning weet wat te doen, en of het schip nog te besturen is als het zicht verdwijnt.

Precies hier komt artikel 20 van NIS2 om de hoek kijken. Het gaat niet om techniek, maar om leiderschap. Om verantwoordelijkheid. Om het feit dat degenen die de organisatie leiden niet aan de wal kunnen blijven staan en wijzen naar een beleid met de woorden 'we hebben regels'. NIS2 vereist dat het management de cybersecuritymaatregelen goedkeurt, opvolgt en ervoor verantwoordelijk kan worden gehouden. Ook moet er opleiding zijn zodat het management begrijpt waarvoor het verantwoordelijk is. (Europese Unie, 2022).

In Nederland is dit geen kwestie van de toekomst meer. De Cybersecuritywet (2025:1506) en de cybersecurityverordening (2025:1507) zijn in werking getreden op 15 januari 2026. (Nationale wetgever, 2025a; Regering, 2026).

Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Waarom artikel 20 het echte keerpunt is

Ik vind dat artikel 20 het meest verkeerd begrepen onderdeel van NIS2 is. Niet omdat het moeilijk is, maar omdat het ongemakkelijk is. Het doet iets wat veel organisaties jarenlang hebben proberen te vermijden: het verplaatst cybersecurity van 'iemand anders zijn bord' naar het bord van het management.

NIS2 zegt in feite drie dingen over het management:

Ten eerste: het management moet de risicobeheersmaatregelen goedkeuren.
Ten tweede: het management moet toezicht houden op de werking ervan.
Ten derde: het management kan persoonlijk aansprakelijk worden gesteld als dit niet wordt nageleefd. (Europese Unie, 2022).

Dit klinkt misschien vanzelfsprekend. Maar in de praktijk hebben veel organisaties een cultuur gecreëerd waarin cybersecurity een 'functie' is, terwijl het management op afstand 'instemt'. Artikel 20 zegt: de kapitein moet op de brug zijn als het erop aankomt.

'Betrokkenheid' is geen gevoel, maar zichtbaar leiderschap

Hier moeten we volgens mij heel praktisch zijn. Betrokkenheid is een mooi woord, maar in toezicht en audit betekent het iets heel concreets: traceerbaarheid.

De betrokkenheid van het management blijkt als je een rechte lijn kunt volgen:

van risico naar besluit,
van besluit naar uitvoering,
van uitvoering naar bewijs.

Daarom koppelt NIS2 artikel 20 zo nadrukkelijk aan artikel 21. Artikel 21 beschrijft welke risico- en beveiligingsmaatregelen er moeten zijn. Artikel 20 zegt dat het management ervoor moet zorgen dat dit gebeurt en de leiding moet nemen. (Europese Unie, 2022).

Artikel 21 in de spiegel van het management

Artikel 21 somt tien gebieden op (a tot j) die door risicobeheersmaatregelen gedekt moeten worden. Ik ga ze hier niet als checklist opsommen, want dan doe ik precies wat NIS2 wil voorkomen. Maar ik wil één ding duidelijk maken: artikel 20 is zinloos als het management artikel 21 niet beheersbaar maakt.

Als ik artikel 21 vertaal naar scheepstermen, gaat het erom dat het management drie vragen moet kunnen beantwoorden zonder dat iemand in de kamer zenuwachtig wordt:

Wat is ons risicoprofiel?

Dat is artikel 21.2 a: beleid voor risicoanalyse en beveiliging van informatiesystemen. Met andere woorden: weten we waar we vastlopen en waarom? (Europese Unie, 2022).

Welke capaciteiten hebben we als er iets gebeurt?

Dat is incidentmanagement en continuïteit, back-up en herstel, crisisbeheer en communicatie. Het is ook wat ervoor zorgt dat 'proportioneel' en 'passend' geen loze woorden zijn maar realiteit. (Europese Unie, 2022).

Hoe weten we dat het werkt?

Misschien wel de belangrijkste vraag. NIS2 wijst expliciet op de noodzaak dat maatregelen effectief zijn en dat rekening wordt gehouden met de 'state of the art', oftewel de actuele technische en methodologische standaard. Voor sommige actoren gelden ook EU-vereisten die technische en methodologische aspecten specificeren in uitvoeringsverordening (EU) 2024/2690. (Europese Unie, 2022; Europese Commissie, 2024).

Hier stop ik vaak even om iets te zeggen dat makkelijk te begrijpen is, ook zonder juridische achtergrond:

Wat niet getest wordt, bestaat niet.

Op een schip tellen reddingsboten niet omdat ze op het dek staan, maar omdat ze te water gelaten kunnen worden.

De meest voorkomende misvatting die ik in bestuurskamers tegenkom

'Is dit niet te technisch?'

Nee. Techniek is een onderdeel van de maatregelen, maar artikel 20 is een eis voor bestuur. Bestuur betekent beslissingen nemen over prioriteiten, middelen en acceptabele risico's.

Daarom vereist NIS2 ook dat leidinggevenden training krijgen. Training betekent niet dat ze technicus moeten worden, maar dat ze de risico's begrijpen en de risicobeheersmaatregelen kunnen beoordelen, evenals hoe deze de geleverde dienst beïnvloeden. (Europese Unie, 2022). Ik vergelijk het vaak met het feit dat het management niet hoeft te weten hoe de motor werkt, maar wel het verschil moet begrijpen tussen 'een lampje dat knippert' en 'we maken water'.

Nederlandse toepassing: meer dan alleen een EU-idee

Met de Cybersecuritywet en de cybersecurityverordening heeft Nederland vastgelegd hoe toezicht, rapportage en verantwoordelijkheid nationaal geregeld zijn, inclusief rollen voor coördinatie en doorsturen van incidentrapporten tussen lidstaten. (Nationale wetgever, 2025b).

Hier zullen veel organisaties het verschil voelen tussen 'we zijn vast wel goed' en 'we kunnen bewijzen dat we goed zijn'. Want toezicht kijkt niet naar ambitie, maar naar traceerbaarheid en effectiviteit.

Mijn visie, zonder de realiteit uit het oog te verliezen

Ik geloof dat artikel 20 een van de beste ontwikkelingen kan worden in Europese cybersecurity. Niet omdat het meer eisen creëert, maar omdat het de focus verschuift van papier naar praktijk.

Maar dan moeten we dit begrijpen: artikel 20 is geen morele richtlijn, maar een constructie die prikkels verandert. Het maakt passiviteit duurder en het bouwen van echte capaciteit winstgevender.

En hier ligt volgens mij de 'wow-factor', als je durft te kijken:

Wanneer het management de brug serieus neemt, wordt cybersecurity geen rem, maar een stabilisator. Het stelt de organisatie in staat sneller beslissingen te nemen, omdat men weet waar de grenzen liggen en hoe men terug kan keren als het misgaat.

Slotwoord

Artikel 20 zegt niet dat je perfect moet zijn, maar wel verantwoordelijk. En in een wereld waarin digitale diensten cruciaal zijn voor de samenleving is het moeilijk hiertegen te argumenteren. Ik wil dat we stoppen met cybersecurity te zien als een aparte afdeling. Ik wil dat we het behandelen zoals het is: een kerntaak van het management om de organisatie draaiende te houden, ook als het stormt.

De kapitein hoeft niet overal tegelijk te zijn, maar mag de brug niet verlaten.

Referenties

Europese Commissie. (2024). Uitvoeringsverordening (EU) 2024/2690. EUR-Lex.

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

Regering. (2026). Nieuwe wet versterkt cybersecurity / Verzwaring van eisen voor Nederlandse cybersecurity (pagina's over inwerkingtreding 15 januari 2026).

Nationale wetgever. (2025a). Cybersecuritywet (2025:1506). Nederlandse wetgeving.

Nationale wetgever. (2025b). Cybersecurityverordening (2025:1507). Nederlandse wetgeving.