Europa scherpt de regels voor digitale weerbaarheid fors aan. Cybersecurity staat overal hoog op de bestuursagenda. Het is cruciaal om niet alleen de afzonderlijke regels te kennen: de GC die de onderlinge verbanden strategisch overziet en de juiste experts samenbrengt, bepaalt de digitale weerbaarheid en wendbaarheid van de organisatie.
Cybersecurity in Europa: van IT-risico naar bestuursverantwoordelijkheid
De Europese Unie voert in hoog tempo nieuwe wetten in om de digitale weerbaarheid van organisaties te vergroten. Waar compliance met de AVG jarenlang de prioriteit had, staan nu AI en cybersecurity centraal op de digitale agenda. Voor General Counsels betekent dit dat juridische strategie, risicobeheersing en governance nauwer dan ooit met elkaar verweven raken.
De kern van de nieuwe golf: NIS2 en CER
De NIS2-richtlijn en de CER-richtlijn vormen het fundament van het Europese cybersecurityraamwerk. Nederland implementeert deze via de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke), beide verwacht in 2026.
NIS2 verplicht organisaties in vitale en essentiële sectoren – zoals energie, transport, zorg, cloud en datadiensten – tot strengere beveiligingsmaatregelen, risicobeoordelingen en meldplichten. Cyberincidenten moeten binnen 24 uur worden gemeld, en bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.
De CER-richtlijn richt zich breder op kritieke infrastructuur en legt nadruk op risicobeoordeling, preventie en crisisbeheersing. Samen tillen deze richtlijnen cyberweerbaarheid naar bestuursniveau.
Productveiligheid en certificering: CRA, EUCC en EUCS
Met de Cyber Resilience Act (CRA) krijgen fabrikanten, softwareontwikkelaars en distributeurs directe verantwoordelijkheid voor de cybersecurity van hun digitale producten. Apparaten en software moeten aantoonbaar veilig worden ontworpen, getest en onderhouden.
De Cybersecurity Act vult dit aan met een Europees certificeringskader (EU Cybersecurity Certification Framework) voor producten, diensten en processen. De bijbehorende certificeringsschema’s – EUCC (voor IT-producten) en EUCS (voor cloud-diensten) – harmoniseren nationale stelsels zoals het Nederlandse NSCIB. Dit vraagt om herziening van technische due diligence, contracten en leveranciersbeheer.
Financiële sector als voorloper: DORA
De Digital Operational Resilience Act (DORA) geldt sinds begin 2025 voor financiële instellingen en hun IT-dienstverleners. Hoewel DORA sectorspecifiek is, wordt zij in de praktijk gezien als blauwdruk voor toekomstige regelgeving in andere sectoren.
Verbinding met AI en data regelgeving
Cybersecurity raakt steeds meer verweven met andere digitale kaders. De AVG beschermt persoonsgegevens, de Data Act regelt het delen en beschermen van data uit IoT-producten en clouddiensten, en de herziene eIDAS-verordening (via de Nederlandse Wet digitale overheid) versterkt digitale identificatie en vertrouwensdiensten. De AI Act voegt daar waarborgen aan toe voor de veilige, transparante en verantwoorde inzet van kunstmatige intelligentie.
Europese samenwerking: Cyber Solidarity Act
De Cyber Solidarity Act vergroot de collectieve veerkracht tegen cyberaanvallen. De verordening creëert een Europees raamwerk voor realtime dreigingsdetectie, snelle incidentrespons en gezamenlijke analyse en kennisdeling bij cyberaanvallen. Hoewel de wet primair op lidstaten is gericht, zal samenwerking tussen overheden en private partijen essentieel zijn voor de uitvoering.
Wat betekent dit voor General Counsels?
De versnippering van Europese cyberwetgeving vraagt om strategische regie vanuit de juridische functie. General Counsels doen er goed aan om:
- alle relevante cyber- en dataverplichtingen in kaart te brengen. Het is cruciaal om niet alleen de afzonderlijke regels te kennen, maar ook de samenhang tussen de verschillende kaders te begrijpen. De juridische impact verschilt namelijk sterk per praktijkcontext: hoe IT-systemen zijn ingericht – bijvoorbeeld on-premise of in de cloud – kan het toepasselijke verplichtingenkader volledig veranderen. Wetgeving zoals NIS2, DORA, de AVG, de AI Act en de Data Act grijpen steeds meer in elkaar, terwijl ook andere kaders – zoals consumentenrecht, verbintenissenrecht en sectorspecifieke regelgeving – kunnen bepalen hoe een organisatie haar businessmodel het meest toekomstbestendig inricht. Wie als General Counsel de juiste experts samenbrengt en deze verbanden strategisch overziet, bepaalt de digitale weerbaarheid en wendbaarheid van de organisatie.
- contracten te actualiseren met aandacht voor meldplichten, certificering, ketenverantwoordelijkheid en aansprakelijkheid.
- governance-structuren te herzien zodat IT, cybersecurity, privacy en compliance geïntegreerd en onder bestuurlijk toezicht worden aangestuurd.
Cybersecurity is geen IT-onderwerp meer, maar een essentieel onderdeel van corporate governance. Onder NIS2 rust op bestuurders de plicht om passende technische en organisatorische maatregelen te waarborgen én toezicht te houden op de naleving daarvan.
Wie als General Counsel nu de regie neemt, voorkomt niet alleen boetes of reputatieschade, maar bouwt aan duurzame digitale weerbaarheid – de nieuwe maatstaf voor vertrouwen, compliance en goed bestuur in Europa.
