Wettelijke Positie CISO: Juridische Status & Aansprakelijkheid in Nederland

Heeft de CISO een wettelijke basis in Nederland?

Anders dan de Functionaris Gegevensbescherming (FG/DPO), die een wettelijke basis heeft in de AVG (artikelen 37-39), kent de CISO geen directe wettelijke grondslag in het Nederlandse recht. Er is geen wet die voorschrijft dat organisaties een CISO moeten aanstellen.

De positie van de CISO wordt in de praktijk bepaald door drie factoren:

• De arbeidsovereenkomst of opdrachtovereenkomst — hierin staan de taken, bevoegdheden en verantwoordelijkheden
• Interne governance-documenten — zoals het informatiebeveiligingsbeleid en het security charter
• Sectorspecifieke regelgeving — DNB-toezicht voor financiële instellingen, en straks de Cyberbeveiligingswet (implementatie NIS2) voor essentiële en belangrijke entiteiten

Voor bepaalde sectoren bestaat er dus wél een indirecte verplichting om de CISO-functie in te vullen. Financiële instellingen onder DNB-toezicht moeten aantoonbaar een security-functie hebben ingericht, en de Cyberbeveiligingswet zal dit voor een veel bredere groep organisaties verplicht stellen.

Verschil met de FG/DPO

Het verschil met de FG/DPO is juridisch gezien groot. De Functionaris Gegevensbescherming heeft:

• Wettelijke ontslagbescherming — een FG mag niet worden ontslagen vanwege de uitoefening van zijn taken
• Geen instructierecht — de werkgever mag de FG geen instructies geven over de uitvoering van zijn taken
• Directe rapportagelijn naar het hoogste bestuursniveau — wettelijk verplicht

De CISO heeft geen van deze wettelijke waarborgen, tenzij dit contractueel is vastgelegd. In de praktijk betekent dit dat een CISO kan worden ontslagen, geïnstrueerd en gereorganiseerd zonder de bescherming die een FG geniet.

Circa 10% van de Nederlandse overheidsorganisaties combineert de rollen van FG en CISO. De Autoriteit Persoonsgegevens (AP) waarschuwt uitdrukkelijk tegen deze combinatie vanwege het risico op belangenverstrengeling.

CISO aansprakelijkheid: adviseur versus bestuurder

De aansprakelijkheid van de CISO hangt af van hoe de rol is gepositioneerd binnen de organisatie. Er zijn twee hoofdmodellen, met een grijs gebied ertussen.

De CISO als adviseur (meest voorkomend)

In de meeste organisaties vervult de CISO een adviserende, coördinerende en controlerende rol. De CISO adviseert het bestuur over security-risico’s, coördineert het beveiligingsprogramma en ziet toe op de naleving van beleid. Meer over deze taken lees je in wat doet een CISO.

In deze positionering kan de CISO vrijwel nooit persoonlijk aansprakelijk worden gesteld door derden. Artikel 7:661 BW bepaalt dat een werknemer alleen aansprakelijk is bij opzet of bewuste roekeloosheid — een drempel die in de praktijk zelden wordt gehaald.

De CISO als bestuurder

Wanneer de CISO een formele bestuurspositie bekleedt — als statutair bestuurder of lid van de directie — verandert het juridische speelveld fundamenteel. In dat geval kan de CISO persoonlijk aansprakelijk worden gesteld op grond van:

• Artikel 2:9 BW (interne bestuurdersaansprakelijkheid) — het bestuur is verplicht om zijn taak behoorlijk te vervullen
• Artikel 6:162 BW (onrechtmatige daad) — derden kunnen de CISO-bestuurder persoonlijk aanspreken bij ernstig verwijt

Voor aansprakelijkheid is een “ernstig verwijt” vereist. Bij cybersecurity-incidenten is dit complex om aan te tonen, maar niet uitgesloten — zeker niet wanneer er structureel is gewaarschuwd en niets is ondernomen.

Het grijze gebied

In de praktijk ontstaat een grijs gebied wanneer de CISO géén formele bestuurspositie heeft, maar wél de facto beleidsbepalend optreedt. Denk aan een CISO die zelfstandig besluiten neemt over security-investeringen, leveranciersselectie of incidentrespons. In dergelijke gevallen kan een rechter oordelen dat de CISO feitelijk als bestuurder heeft opgetreden. Lees meer over de positionering in ons artikel over de CISO-functie.

NIS2 en de Cyberbeveiligingswet: gamechanger voor CISO governance

De Cyberbeveiligingswet (Cbw) — de Nederlandse implementatie van de NIS2-richtlijn — verandert het juridische landschap voor CISO’s ingrijpend.

Wat verandert er concreet?

Artikel 24 van de Cyberbeveiligingswet (implementatie van artikel 20 NIS2) legt drie kernverplichtingen op aan bestuurders:

• Goedkeuringsplicht — het bestuur moet de cybersecurity-maatregelen formeel goedkeuren
• Toezichtplicht — het bestuur moet actief toezien op de implementatie ervan
• Aansprakelijkheid — bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid

Voor CISO’s betekent dit een versterkte positie: het bestuur kan security niet langer delegeren en vergeten. De CISO wordt de centrale adviseur die het bestuur in staat stelt om aan deze wettelijke verplichtingen te voldoen.

Opleidingsplicht voor bestuurders

Een opmerkelijke bepaling: alle uitvoerende bestuurders moeten binnen twee jaar na inwerkingtreding van de wet (naar verwachting medio 2028) gecertificeerd zijn op het gebied van cybersecurity. Commissarissen en toezichthouders zijn hiervan uitgezonderd.

Dit creëert een directe verantwoordelijkheid voor CISO’s om het bestuur te faciliteren bij het verkrijgen van deze kennis — en versterkt de positie van de CISO als onmisbare adviseur.

Sancties en handhaving

De Rijksinspectie Digitale Infrastructuur (RDI) wordt de toezichthouder. Organisaties en individuele bestuurders riskeren significante boetes bij niet-naleving. Dit maakt cybersecurity definitief een bestuursverantwoordelijkheid — niet langer iets dat aan “de IT-afdeling” kan worden overgelaten.

Wat betekent dit voor de dagelijkse praktijk van de CISO?

De CISO als poortwachter van het bestuur

De verschuiving naar bestuursverantwoordelijkheid vereist dat de CISO structureel rapporteert aan het bestuur. Niet kwartaallijks als afterthought, maar als vast onderdeel van de bestuursvergadering.

In de praktijk betekent dit een verschuiving van de rapportagelijn: weg van de CIO of CTO, richting het bestuur. De CISO wordt een boardroom-functie. Voor meer over het takenpakket, zie wat doet een CISO.

Delegatie ≠ overdracht van verantwoordelijkheid

Een cruciaal juridisch principe: het bestuur kan taken delegeren aan de CISO, maar niet de uiteindelijke verantwoordelijkheid. Als het bestuur het advies van de CISO naast zich neerlegt en er gaat iets mis, dan blijft de aansprakelijkheid bij het bestuur — mits de CISO zijn advies schriftelijk heeft vastgelegd.

Dit principe werkt twee kanten op: het beschermt de CISO die goed adviseert, maar het vereist ook dat de CISO zijn adviezen aantoonbaar en gedocumenteerd verstrekt.

Juridische bescherming: tien concrete tips voor CISO’s

1. Documenteer alles

Leg adviezen, risico-assessments en bestuursbesluiten schriftelijk vast. Documentatie is je belangrijkste juridische bescherming. Gebruik formele memo’s en zorg dat deze worden opgenomen in de bestuursvergaderverslagen.

2. Werk met risicoaccaptatieverklaringen

Wanneer het bestuur een security-risico bewust accepteert, leg dit dan vast in een formele risicoaccaptatieverklaring. Laat deze ondertekenen door het bestuur. Dit verschuift de verantwoordelijkheid voor de gevolgen expliciet naar het bestuur.

3. Zorg voor een heldere functiebeschrijving

Laat je taken, bevoegdheden en verantwoordelijkheden vastleggen in een gedetailleerde functiebeschrijving. Zorg dat hierin expliciet staat dat je een adviserende rol hebt en geen beslissingsbevoegdheid over budgetten of personeelsbeslissingen.

4. Eis een directe rapportagelijn

Rapporteer rechtstreeks aan het bestuur of de CEO, niet aan de CIO of CTO. Dit voorkomt dat security-adviezen worden gefilterd of afgezwakt voordat ze het bestuur bereiken.

5. Sluit een D&O-verzekering af

Een bestuurdersaansprakelijkheidsverzekering (Directors & Officers, D&O) beschermt je privévermogen tegen persoonlijke claims. Controleer of de bestaande D&O-polis van de organisatie ook de CISO dekt — of onderhandel een eigen polis.

6. Houd certificeringen actueel

Actuele certificeringen tonen aan dat je vakbekwaam bent en op de hoogte van de laatste ontwikkelingen. Dit kan in een juridische procedure het verschil maken. Bekijk de mogelijkheden in ons overzicht van CISO opleidingen en certificeringen.

7. Integreer security in de governance

Zorg dat informatiebeveiliging een vast onderwerp is op de bestuursagenda. Maak gebruik van erkende frameworks als ISO 27001 en NIST CSF om je security-programma te structureren.

8. Stel een security charter op

Een security charter legt de mandaat, bevoegdheden en rapportagelijnen van de CISO formeel vast. Laat dit goedkeuren door het bestuur en neem het op in de governance-documenten van de organisatie.

9. Richt een escalatieprocedure in

Definieer een formele escalatieprocedure voor situaties waarin je advies niet wordt opgevolgd. Documenteer elke escalatie en de respons van het bestuur. Dit creëert een audit trail die je juridische positie versterkt.

10. Train het bestuur

Investeer in security-awareness op bestuursniveau. Een bestuur dat begrijpt wat cybersecurity inhoudt, neemt betere besluiten en is minder geneigd om risico’s te negeren. Dit beschermt uiteindelijk ook de CISO.

De CISO en de AVG: overlap en grenzen

Artikel 32 AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Dit raakt direct het werkgebied van de CISO.

De CISO en de FG/DPO hebben complementaire maar gescheiden rollen. De FG adviseert over privacy-compliance en houdt toezicht op de naleving van de AVG. De CISO implementeert de technische en organisatorische beveiligingsmaatregelen. Beide functies zijn essentieel, maar het is belangrijk dat ze niet worden vermengd.

De AVG kent significante sancties: boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet. Een CISO die zijn beveiligingsverantwoordelijkheden onvoldoende invult, draagt indirect bij aan het risico op deze boetes — een extra reden om de security-governance op orde te hebben.

Internationale vergelijking: SolarWinds en de SEC

In 2023 maakte de Amerikaanse beurstoezichthouder SEC internationale koppen door de CISO van SolarWinds persoonlijk aan te klagen wegens fraude. De verwijten: het bewust mooier voorstellen van de security-volwassenheid van het bedrijf tegenover investeerders.

Dit was de eerste keer dat een toezichthouder een CISO persoonlijk aansprakelijk stelde. Hoewel het Nederlandse recht anders is gestructureerd, stuurt deze zaak een duidelijk signaal: CISO’s moeten eerlijk rapporteren over de feitelijke security-status van hun organisatie.

De les voor Nederlandse CISO’s: wees eerlijk in je rapportages, overdrijf de security-volwassenheid niet, en documenteer zowel de sterke als de zwakke punten. Transparantie is je beste bescherming.

Toekomstverwachtingen: de positie wordt sterker

De trend is duidelijk: de wettelijke positie van de CISO wordt de komende jaren formeler en sterker. De Cyberbeveiligingswet, die naar verwachting in Q2 2026 in werking treedt, markeert een keerpunt. Bestuurders worden persoonlijk aansprakelijk voor cybersecurity, wat de CISO-functie onmisbaar maakt.

We verwachten de komende jaren:

• Meer formalisering van de CISO-rol in governance-codes en sectorspecifieke regelgeving
• Strengere governance-eisen rondom security-rapportage en bestuursverantwoordelijkheid
• Toenemende accountability — zowel voor bestuurders als voor security-professionals

Dit vertaalt zich ook in de arbeidsmarkt: CISO’s met juridische kennis en governance-ervaring worden steeds waardevoller. Benieuwd naar de impact op salaris? Bekijk ons artikel over het CISO salaris in Nederland. Overweeg je een flexibele invulling? Lees meer over de interim CISO.