Cybersecurity

Uw cyberveiligheidsplicht is nu persoonlijk

De Duitse NIS2-wet maakt het bestuur persoonlijk aansprakelijk voor cyberveiligheid, stelt een harde registratiedeadline en geeft de BSI controle- en boetebevoegdheden. Wat ondernemers nu moeten doen.

Door Leon Soliman · 2026-06-30 · 3 min leestijd

Waarom deze wet verder reikt dan u denkt

De NIS2-uitvoeringswet geldt in Duitsland sinds december 2025, en raakt niet alleen energiecentrales en banken. Ze trekt zo'n 29.500 bedrijven binnen 18 sectoren mee, van logistiek en voedselproductie tot machinebouw, afvalbeheer en digitale diensten. De drempel is laag. Een bedrijf met 50 of meer werknemers, of 10 miljoen euro omzet, in een van deze sectoren valt standaard binnen het bereik.

De meeste ondernemers in de Mittelstand hebben hun bedrijf nooit als kritieke infrastructuur beschouwd. De wet vraagt niet om dat zelfbeeld. Ze kijkt naar de sector en de omvang, classificeert u als een belangrijke of een bijzonder belangrijke entiteit, en hangt er bindende beveiligingsverplichtingen aan die een jaar geleden niet bestonden.

De plicht die persoonlijk bij de ondernemer terechtkomt

De scherpste verandering is wie de plicht draagt. Onder de nieuwe Duitse wet moet het bestuursorgaan de cyberveiligheidsrisicomaatregelen goedkeuren en bewaken dat ze daadwerkelijk zijn ingevoerd. Dit is geen taak die u aan een IT-leverancier kunt overdragen en vergeten. Waar de leiding handelt met grove nalatigheid of opzet, staat de wet boetes tegen de individuen toe en, in ernstige gevallen, een tijdelijk verbod om een bestuursfunctie te bekleden.

Voor een door de eigenaar geleid bedrijf is dit het deel dat ertoe doet. Wie voor het bedrijf tekent, tekent nu voor de cyberhouding ervan. Een keurig uitbestedingscontract verschuift de verantwoordelijkheid niet weg van het bestuur. Het verandert alleen wie u belt als er iets misgaat, en tegen die tijd is de plicht al getoetst.

De registratielijst waarover niemand u vertelde

Goed verdedigd zijn is op zichzelf niet genoeg. Betrokken bedrijven moeten zich registreren bij het Federale Bureau voor Informatiebeveiliging, de BSI, en zich identificeren. De wettelijke deadline was maart 2026, en op die datum hadden slechts ongeveer 11.500 van de zo'n 29.500 bedrijven het gedaan. Meer dan de helft ontbrak op de lijst.

De BSI heeft een definitieve verlenging tot 31 juli 2026 vastgesteld en heeft aangegeven dat ze na deze zomer de eerste sancties zal onderzoeken. Het niet registreren is op zich een beboetbaar feit, tot 500.000 euro, los van enige inbreuk. Het stille risico is geen cyberaanval. Het is een bedrijf zijn dat de toezichthouder niet kan vinden op een lijst die ze nu actief controleert.

Wat u dit kwartaal in gang moet zetten

Drie stappen dragen het meeste gewicht. Bevestig of uw bedrijf binnen het bereik valt, want de toets op sector en omvang is mechanisch en gemakkelijk verkeerd te lezen. Registreer u bij de BSI voor de uiterste datum in juli als u binnen het bereik valt. Leg vervolgens een gedocumenteerd risicobeheerproces voor aan uw bestuursorgaan, zodat aan de goedkeurings- en toezichtsplicht wordt voldaan en dit wordt vastgelegd, niet verondersteld.

Niets hiervan vereist een grote beveiligingsafdeling. Het vereist een heldere lezing van waar u staat, bewijs dat de leiding naar het risico heeft gekeken, en een vastlegging die u kunt tonen als de toezichthouder erom vraagt. De bedrijven die het moeilijk krijgen, zijn die welke een nationale cyberveiligheidswet als een IT-voetnoot behandelden.

Lees hierna: Uw hardware is nu gereguleerde software · Is uw cyberverdediging klaar voor aanvallen op machinesnelheid?

Veelgestelde vragen

Geldt NIS2 voor mijn bedrijf als wij geen nutsbedrijf of bank zijn?

Heel goed mogelijk. De wet dekt 18 sectoren, waaronder logistiek, voeding, productie, afval en digitale diensten, en geldt voor elk bedrijf daarin met 50 of meer medewerkers of 10 miljoen euro omzet. Veel Mittelstand-bedrijven vallen binnen het bereik zonder het te beseffen.

Kan ik deze plicht delegeren aan mijn IT-leverancier?

Nee. U kunt het technische werk uitbesteden, maar de Duitse wet legt de plicht om de cyberveiligheidsmaatregelen goed te keuren en te bewaken bij het bestuursorgaan zelf. De verantwoordelijkheid, en de persoonlijke aansprakelijkheid, blijven bij de leiding.

Wat is het directe risico als wij ons niet hebben geregistreerd?

Het niet registreren bij de BSI is een apart beboetbaar feit van tot 500.000 euro, en de definitieve deadline is 31 juli 2026. Daarna heeft de BSI gezegd dat ze sancties zal onderzoeken, te beginnen met de duidelijke registratieverzuimen.

Een wet die uw bestuursorgaan bij functie benoemt, wacht niet op een incident om reeel te worden. De plicht is al van kracht, en de enige open vraag is of uw bewijs dat ook is.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola

Meer uit het Servola Journal

Cybersecurity

Uw hardware is nu gereguleerde software

2026-06-28 · 3 min leestijd

Lees het artikel →

Cybersecurity

Is uw cyberverdediging klaar voor aanvallen op machinesnelheid?

2026-06-23 · 2 min leestijd

Lees het artikel →

AI Regulation

Duitsland heeft nu een aangewezen AI-toezichthouder

2026-06-29 · 3 min leestijd

Lees het artikel →

Servola

Servola helpt ondernemers en Mittelstand-besturen te lezen waar NIS2 hen plaatst en de governance op te bouwen die de wet nu eist.

Vraag een vertrouwelijk gesprek aan Over Servola →

Servola is technologisch advies voor een klein aantal families en family offices. Wanneer een beslissing niet kan worden gedelegeerd, zitten wij aan uw kant van de tafel.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle artikelen