De Network and Information Systems Directive (NIS2) is een Europese richtlijn die gericht is op het verbeteren van de cyberbeveiliging binnen de Europese Unie. Deze richtlijn heeft verstrekkende gevolgen voor verschillende lagen binnen een organisatie, van de directie en het bestuur tot de medewerkers en de bredere leveranciersketen. Algemeen denken velen dat cybersecurity een aangelegenheid is van de IT-afdeling. Dat is onder de NIS2 zeker niet meer het geval. Directie, medewerkers en leveranciers krijgen met NIS2 te maken en dat brengt dus meer afdelingen in beweging, Management, HR, inkoop en Legal moeten allemaal worden betrokken.

Directie en bestuur zijn aansprakelijkheid en verantwoordelijkheid. Dat feit is één van de meest significante veranderingen die NIS2 met zich meebrengt. Onder NIS2 zijn zij verantwoordelijk voor het naleven van de nieuwe beveiligingsmaatregelen en kunnen zij persoonlijk aansprakelijk worden gesteld bij ernstige inbreuken op de cyberbeveiliging.

Directieleden en bestuursleden moeten aantonen dat zij proactief en effectief toezicht houden op de implementatie van cyberbeveiligingsmaatregelen. Dit betekent dat zij niet alleen op de hoogte moeten zijn van de huidige bedreigingen en risico’s, maar ook actief moeten deelnemen aan de strategische beslissingen over cyberbeveiliging. NIS2 legt strengere sancties op voor non-compliance. Dit kan variëren van boetes tot juridische stappen tegen individuen binnen de directie en het bestuur.