Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Moeten directeuren een NIS2-training volgen?

10 juni 2026

Ja, directeuren moeten een NIS2-training volgen. De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, legt een expliciete trainingsplicht op aan bestuurders van organisaties die onder de wet vallen. Dit is geen vrijblijvend advies, maar een wettelijke verplichting met persoonlijke aansprakelijkheid als je er niet aan voldoet. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-training voor directeuren en bestuurders.

Wat verplicht NIS2 van directeuren en bestuurders?

NIS2 verplicht directeuren en bestuurders om actief betrokken te zijn bij het cybersecuritybeleid van hun organisatie. Dat betekent: het goedkeuren van het beveiligingsbeleid, het dragen van eindverantwoordelijkheid voor de uitvoering van de tien zorgplichtmaatregelen, en persoonlijk aansprakelijk zijn als de organisatie tekortschiet. Bestuurders kunnen niet langer cybersecurity volledig delegeren aan een IT-afdeling of externe partij.

De wet maakt een duidelijk onderscheid tussen operationele verantwoordelijkheid en bestuurlijke verantwoordelijkheid. Een IT-manager of managed service provider kan de dagelijkse uitvoering op zich nemen, maar de directeur tekent voor het beleid en staat ervoor in bij de toezichthouder. Concreet betekent dit dat het bestuur:

  • de risicoanalyse en het informatiebeveiligingsbeleid formeel goedkeurt
  • toezicht houdt op de implementatie van de tien technische en organisatorische maatregelen uit artikel 21
  • verantwoordelijk is voor tijdige melding van significante incidenten bij het NCSC
  • aantoonbaar kennis heeft van de cybersecurityrisico’s die voor de organisatie relevant zijn

Persoonlijke bestuurdersaansprakelijkheid is een van de meest ingrijpende elementen van NIS2. Als een organisatie een ernstig incident heeft en kan worden aangetoond dat het bestuur zijn toezichthoudende rol heeft verwaarloosd, kan de toezichthouder de directeur persoonlijk aanspreken. Dat is een fundamentele verschuiving ten opzichte van de vorige wetgeving, de Wbni uit 2018, waarbij aansprakelijkheid veel minder concreet was uitgewerkt.

Welke kennis moeten directeuren hebben over NIS2?

Directeuren hoeven geen technische IT-specialisten te worden, maar ze moeten wel begrijpen welke risico’s hun organisatie loopt, welke maatregelen daarvoor nodig zijn en hoe ze toezicht houden op de uitvoering ervan. NIS2-kennis voor bestuurders draait om strategisch inzicht, niet om technische diepgang.

Concreet verwacht de wet dat een directeur in staat is om:

  • te beoordelen of de organisatie onder de Cyberbeveiligingswet valt en in welke categorie (essentieel of belangrijk)
  • de tien zorgplichtmaatregelen op hoofdlijnen te begrijpen en te kunnen toetsen of ze zijn geïmplementeerd
  • het incidentresponsplan te kennen en te weten welke rol de directeur speelt bij een ernstig cyberincident
  • de meldplicht te begrijpen: wat is een significant incident, binnen welke termijnen moet worden gemeld en bij welke instantie
  • leveranciersrisico’s te herkennen en te begrijpen waarom supply chain security een eigen verantwoordelijkheid is

Het gaat er niet om dat je als directeur zelf een penetratietest uitvoert of een firewall configureert. Het gaat erom dat je de juiste vragen kunt stellen aan je IT-team of IT-partner, dat je begrijpt wat de antwoorden betekenen voor jouw organisatie, en dat je weloverwogen besluiten kunt nemen over investeringen in digitale beveiliging. Toezichthouders toetsen niet op technische kennis, maar op aantoonbaar bestuurlijk bewustzijn.


Hi, how are you doing?
Can I ask you something?
Hoi! 👋 Ik zie dat je meer wilt weten over NIS2-training voor directeuren. Veel MKB-directeuren worstelen op dit moment met dezelfde vraag: vallen wij onder de wet, en wat moet ik als bestuurder nu eigenlijk doen? Wat omschrijft jouw situatie het beste?
Dat begrijp ik — de bestuurlijke trainingsplicht en persoonlijke aansprakelijkheid zijn voor veel directeuren een wake-up call. Veel MKB-bedrijven die wij begeleiden starten met een NIS2-quickscan om precies te weten waar ze staan. Hoe snel wil jij hier mee aan de slag?
Geen probleem — dat is precies waar veel directeuren nu mee zitten. Weet je al hoeveel Microsoft-gebruikers jullie organisatie heeft? Dit helpt om in te schatten of en hoe NIS2 op jullie van toepassing is.
Op basis van wat je hebt aangegeven kan NTNT je helpen met een vrijblijvende NIS2-quickscan — zodat jij als directeur precies weet wat er van je wordt verwacht en hoe je daar concreet invulling aan geeft. Laat je gegevens achter en we nemen contact met je op.
Bedankt! 🎉 Je aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om te bespreken hoe we je kunnen helpen met de NIS2-voorbereiding. Fijn dat je de eerste stap hebt gezet!

Is een NIS2-training voor directeuren wettelijk verplicht?

Ja, een NIS2-training voor directeuren is wettelijk verplicht voor organisaties die onder de Cyberbeveiligingswet vallen. Artikel 21 van NIS2, maatregel 7, schrijft expliciet voor dat bestuurders een opleiding moeten volgen op het gebied van cybersecurity. Dit geldt voor alle essentiële en belangrijke entiteiten, ongeacht hun omvang binnen de wettelijke drempelwaarden.

De wet schrijft geen specifiek format, geen minimaal aantal uren en geen erkende opleider voor. Wat de toezichthouder wel verwacht, is dat je kunt aantonen dat de training heeft plaatsgevonden en dat het bestuur daarna aantoonbaar beter in staat is zijn toezichthoudende rol te vervullen. Documentatie is daarbij onmisbaar: bewaar certificaten, deelnemerslijsten en een beschrijving van de inhoud van de training als onderdeel van je evidence pack.

Voor MKB-bedrijven die niet direct onder NIS2 vallen maar wel leveren aan NIS2-plichtige organisaties, bestaat geen formele wettelijke trainingsplicht. Toch zien we in de praktijk dat opdrachtgevers steeds vaker vragen naar bewijs van bestuurlijk cybersecuritybewustzijn. Een NIS2-opleiding voor management is dan ook steeds vaker een praktische noodzaak, ook voor bedrijven die indirect in de keten zitten.

Wat is het verschil tussen een NIS2-training en een NIS2-bewustwordingssessie?

Een NIS2-training voor directeuren is een gestructureerd leertraject waarbij bestuurders concrete kennis opdoen over hun wettelijke verplichtingen, de tien zorgplichtmaatregelen en hun persoonlijke aansprakelijkheid. Een NIS2-bewustwordingssessie is een kortere, minder diepgaande kennismaking die bewustzijn creëert, maar geen volledige leeruitkomsten garandeert. Voor de wettelijke verplichting volstaat een bewustwordingssessie doorgaans niet.

Wat bevat een volwaardige NIS2-training voor bestuurders?

Een training die voldoet aan de verwachtingen van de Cyberbeveiligingswet behandelt minimaal de scope en werking van NIS2, de persoonlijke aansprakelijkheid van bestuurders, de tien zorgplichtmaatregelen op bestuurlijk niveau, de meldplicht en de rol van de directeur bij een incident, en de ketenverantwoordelijkheid richting leveranciers. De training leidt tot aantoonbare leeruitkomsten en wordt afgesloten met documentatie die je kunt opnemen in je compliance-dossier.

Wanneer volstaat een bewustwordingssessie?

Een bewustwordingssessie is nuttig als aanvulling of als eerste stap voor bestuurders die nog weinig affiniteit hebben met cybersecurity. Ze is ook geschikt voor directeuren van organisaties die niet direct onder NIS2 vallen maar wel indirect in de keten zitten. In dat geval biedt een sessie voldoende context om de juiste vragen te stellen aan je IT-partner en om te begrijpen welke eisen klanten aan jou kunnen stellen. Maar als bewijs voor de toezichthouder schiet een bewustwordingssessie tekort.

Wat zijn de gevolgen als directeuren geen NIS2-training volgen?

Als directeuren geen NIS2-training volgen terwijl de organisatie onder de Cyberbeveiligingswet valt, riskeer je als bestuurder persoonlijke aansprakelijkheid, boetes voor de organisatie en reputatieschade bij klanten en partners. De toezichthouder kan bij een incident of audit vaststellen dat het bestuur zijn wettelijke zorgplicht heeft verzaakt, wat directe consequenties heeft.

De sancties die de Cyberbeveiligingswet mogelijk maakt, zijn aanzienlijk:

  • Essentiële entiteiten kunnen boetes krijgen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet
  • Belangrijke entiteiten riskeren boetes tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet
  • Toezichthouders kunnen tijdelijke verboden opleggen aan bestuurders om hun functie uit te oefenen
  • Bij ernstige tekortkomingen kan de toezichthouder de naam van de organisatie openbaar maken

Naast de formele sancties zijn er ook praktische gevolgen. Klanten die zelf NIS2-plichtig zijn, moeten kunnen aantonen dat hun leveranciers veilig werken. Als jij als directeur niet kunt laten zien dat je bestuurlijk bewustzijn hebt van cybersecurityrisico’s, verlies je opdrachten aan concurrenten die dat bewijs wel kunnen leveren. De verschuiving in de markt is duidelijk: van “vertel me dat het goed zit” naar “laat het zien.”

Hoe kiest een directeur de juiste NIS2-opleiding?

De juiste NIS2-opleiding voor een directeur sluit aan bij jouw sector, de omvang van je organisatie en het kennisniveau waarmee je start. Let bij de keuze op inhoud, documentatie en praktische toepasbaarheid. Een goede opleiding levert niet alleen kennis op, maar ook bewijs dat je kunt gebruiken in je compliance-dossier.

Waar je op moet letten bij het kiezen van een NIS2-opleiding voor management:

  • Bestuurlijke focus: De opleiding moet gericht zijn op de rol van de directeur, niet op technische uitvoering. Zoek naar programma’s die expliciet ingaan op bestuurdersaansprakelijkheid en toezichthoudende verantwoordelijkheden.
  • Sectorspecifieke context: Een opleiding die rekening houdt met jouw sector is relevanter dan een generieke introductie. De risico’s en maatregelen voor een zorginstelling verschillen van die voor een logistiek bedrijf.
  • Certificering en documentatie: Zorg dat de opleiding afsluit met een certificaat of deelnamebewijs dat je kunt opnemen in je evidence pack voor de toezichthouder.
  • Praktische toepasbaarheid: Een goede opleiding geeft je handvatten die je direct kunt gebruiken in gesprekken met je IT-team of IT-partner over de implementatie van de tien zorgplichtmaatregelen.
  • Aanbod via je IT-partner: Veel managed service providers bieden NIS2-bewustzijnstraining aan als onderdeel van hun dienstenpakket. Dit heeft als voordeel dat de training aansluit bij de specifieke IT-omgeving van jouw organisatie.

Vermijd opleidingen die alleen een globale introductie geven op NIS2 zonder in te gaan op jouw specifieke verplichtingen als bestuurder. De wet vraagt om aantoonbaar bestuurlijk bewustzijn, en dat vereist meer dan een algemene informatiesessie.

Wanneer moeten directeuren hun NIS2-training hebben afgerond?

Directeuren moeten hun NIS2-training hebben afgerond op het moment dat de Cyberbeveiligingswet voor hun organisatie van kracht wordt. In 2026 is de wet nog in de parlementaire behandelingsfase in Nederland, maar de verwachting is dat de CBW in de loop van 2026 of begin 2027 in werking treedt. Wacht niet tot de wet formeel van kracht is: de implementatie van alle zorgplichtmaatregelen kost tijd, en training van het bestuur is een van de eerste stappen.

Het praktische stappenplan dat we aanbevelen voor bestuurders:

  1. Nu: Bepaal of jouw organisatie onder de Cyberbeveiligingswet valt via de zelfevaluatietool op zelfevaluatie.rdi.nl. Dit duurt minder dan een halfuur en geeft direct duidelijkheid over je positie.
  2. Komende maanden: Plan een NIS2-training voor het volledige bestuur. Doe dit ruim voor de inwerkingtreding van de wet, zodat je de uitkomsten kunt gebruiken bij de gap-analyse en implementatie.
  3. Bij inwerkingtreding: Zorg dat de training is gedocumenteerd en opgenomen in je evidence pack, samen met het goedgekeurde cybersecuritybeleid en de risicoanalyse.
  4. Jaarlijks terugkerend: NIS2 verwacht geen eenmalige training, maar een doorlopend bewustwordingsprogramma. Plan jaarlijkse opfrissingssessies in, zeker als de dreigingen of de organisatie veranderen.

Voor MKB-bedrijven die indirect in de keten zitten, geldt dezelfde urgentie. Opdrachtgevers beginnen nu al beveiligingsvragenlijsten te sturen en eisen te stellen aan leveranciers. Als je wacht tot de wet formeel ingaat, loop je achter op concurrenten die zich al hebben voorbereid.

Hoe wij helpen met NIS2-training voor directeuren

Bij NTNT begrijpen we dat NIS2 voor veel directeuren een nieuw en complex onderwerp is. Daarom helpen we MKB-bedrijven stap voor stap bij de voorbereiding op de Cyberbeveiligingswet, inclusief de bestuurlijke trainingsplicht. Wat we concreet bieden:

  • NIS2-zelfevaluatie: We helpen je bepalen of jouw organisatie direct of indirect onder de wet valt en wat dat betekent voor jouw verplichtingen als directeur.
  • Bestuurlijke bewustzijnstraining: Via ons Security Awareness Training-programma bieden we toegankelijke, praktisch gerichte training aan voor medewerkers én bestuurders, zodat iedereen zijn rol begrijpt.
  • Gap-analyse en implementatiebegeleiding: We brengen in kaart welke van de tien zorgplichtmaatregelen al aanwezig zijn, wat ontbreekt en hoe je dat aanpakt, zodat jij als directeur het overzicht houdt.
  • Evidence pack opbouw: We helpen je de documentatie op orde te krijgen die je nodig hebt voor de toezichthouder: beleidsdocumenten, risicoanalyses, trainingsbewijzen en meer.
  • Doorlopende ondersteuning: NIS2 is geen eenmalig project. Als je managed IT-partner zorgen we ervoor dat jouw organisatie aantoonbaar compliant blijft, ook als de wet of het dreigingslandschap verandert.

Wil je weten waar jouw organisatie nu staat? Neem contact op met NTNT voor een vrijblijvende NIS2-quickscan, zodat je als directeur precies weet wat er van je wordt verwacht en hoe je daar concreet invulling aan geeft.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.