RACI voor NIS 2 in een entiteit van 60 personen
Onder art. 20 NIS 2 draagt de leiding van rechtswege de verantwoordelijkheid voor de risicobeheersmaatregelen. RACI is de goedkoopste manier om de rest van de organisatie te tonen wat dat in de praktijk betekent.
Waarom RACI bij NIS 2
De meeste Mittelstand-teams slaan de RACI-matrix over omdat deze naar consultant-vertoning klinkt. Onder NIS 2 is dat naar de geest niet optioneel. Art. 20 NIS 2 legt Accountability uitdrukkelijk bij de leiding; de matrix is alleen de goedkoopste manier om Accountable, Responsible, Consulted en Informed voor het team zichtbaar te maken.
Een entiteit van 60 personen kan zich geen vijf afzonderlijke functionarissen veroorloven (CISO, FG, Compliance, Legal, IT-Leiding). Eén persoon vervult doorgaans twee of drie rollen, en de leiding draagt de plichten met directe persoonlijke verantwoordelijkheid. RACI documenteert hoe die consolidatie loopt zonder de richtlijn te schenden.
De matrix doet er vooral op twee momenten toe: wanneer een nieuwe leidinggevende vraagt wie welke NIS 2 plicht draagt, en wanneer het BSI bewijs vraagt en u moet aantonen wie wat heeft afgetekend.
Art. 20(1) NIS 2 (verantwoordelijkheid leidinggevende organen)
De lidstaten zorgen ervoor dat de leidinggevende organen van essentiële en belangrijke entiteiten de cyberbeveiligingsrisicobeheersmaatregelen goedkeuren die door die entiteiten worden genomen om te voldoen aan artikel 21, toezicht houden op de uitvoering daarvan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
'Goedkeuren' en 'toezicht houden' zijn Accountable-activiteiten in RACI-termen. De leiding draagt A, of zij R nu delegeert of niet. Delegatie is toegestaan, afstand doen niet.
§38 BSIG (opleiding leidinggevende organen)
Leden van leidinggevende organen van essentiële en belangrijke entiteiten dienen deel te nemen aan opleidingen, om voldoende kennis en vaardigheden te verwerven voor het herkennen en beoordelen van risico's en risicobeheersprocedures op het gebied van cyberbeveiliging en hun gevolgen.
Opleiding is een eigen, niet-delegeerbare plicht van de leiding. RACI brengt dat tot uitdrukking als Responsible EN Accountable in de leidingsrij.
Leiding
CEO, Geschäftsführer, bestuur. Accountable voor art. 21 maatregelen van rechtswege. Responsible voor art. 20 opleiding, budgetgoedkeuring, risicoacceptatie boven de afgesproken drempel.
IT-leiding of CISO
De meeste 60-persoons Mittelstand-entiteiten hebben geen CISO; de IT-leiding fungeert dubbel. Responsible voor de technische uitvoering van maatregelen, dagelijkse operatie, technische leveranciersbeoordeling.
Functionaris Gegevensbescherming (FG)
Reeds aanwezig voor de AVG. Onder NIS 2 doorgaans verantwoordelijk voor de klantmelding (art. 23(2) NIS 2) en de overlap met AVG art. 33. Vaak parttime of extern.
HR
Responsible voor ORP.3-awareness, instromer/wisselaar/uitstromer-toegangsprocessen, de medewerkersgegevenskant van leveranciersmanagement.
Compliance of Legal
Vaak uitbesteed. Responsible voor leveranciersclausules onder art. 21(2)(d), klantmeldingen onder art. 23(2), correspondentie met het BSI.
| RACI-matrix | Leiding | IT-leiding of CISO | Functionaris Gegevensbescherming (FG) | HR | Compliance of Legal |
|---|---|---|---|---|---|
| BSI-registratie onder §33 BSIG | A | R | C | I | C |
| Informatiebeveiligingsbeleid onder art. 21(2)(a) | A | R | C | C | C |
| Incidentafhandeling onder art. 21(2)(b) | A | R | C | I | C |
| Bedrijfscontinuïteit onder art. 21(2)(c) | A | R | I | C | I |
| Toeleveringsketenbeveiliging onder art. 21(2)(d) | A | C | C | I | R |
| Opleiding leiding onder art. 20(2) + §38 BSIG | A en R | I | C | C | C |
| Awareness alle medewerkers onder art. 21(2)(g) | A | C | C | R | I |
| Incidentmelding onder art. 23 + §32 BSIG | A | R | C | I | C |
| Klantmelding onder art. 23(2) NIS 2 | A | C | R | I | C |
| Registratie-update onder §33(5) BSIG (2-wekentermijn) | A | R | I | C | C |
RACI faalt wanneer teams A en R gelijkstellen. Onder art. 20 NIS 2 draagt de leiding A van rechtswege. Zij kan A niet delegeren. Zij kan en moet R delegeren, vaak naar de IT-leiding of FG, maar de eindverantwoordelijkheid blijft bij de leiding.
Praktisch gevolg: wanneer een audit vraagt 'wie heeft deze risicoacceptatie ondertekend?', kan het antwoord niet 'de IT-leiding' zijn. Het moet een lid van de leiding zijn, bij naam, met datum. De IT-leiding voert uit; de leiding tekent.
Een MSP-constellatie verschuift A niet naar de MSP. Art. 20 blijft bij uw leiding. Responsibility voor uitvoering kan bij de MSP liggen, maar alleen binnen een contract dat bepaalt wat zij onder art. 21(2)(d) doen.
De RACI-matrix krijgt een zesde kolom: externe MSP. Deze zit R in de technische rijen, Consulted in de policy-rijen. De Accountable-kolom verlaat nooit uw leiding.
- Richtlijn (EU) 2022/2555 (NIS 2), art. 20, art. 21, art. 23, www.eur-lex.europa.eu
- Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), §32, §33, §38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (sensibilisering en opleiding), www.bsi.bund.de
- Common Notification Templates van de NIS-2 Samenwerkingsgroep (vastgesteld 26 mei 2026) over meldprocessen
Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, BSIG, BSI IT-Grundschutz, templates van de samenwerkingsgroep). Het is geen juridisch advies in de zin van §2 RDG. Voor de concrete RACI-inrichting in uw entiteit raadpleegt u een gekwalificeerd adviseur. Stand: 2026-06-04.