Art. 20 + Art. 27 NIS 2 · §33(5) + §38 + §65 BSIG

Bestuurderswisseling — NIS 2 verantwoordelijkheid veilig overdragen

Wanneer de CEO of bestuurder vertrekt, gaat de §38 BSIG opleidingsplicht niet mee. Drie dingen moeten bij de overdracht gebeuren, anders verschuift persoonlijke verantwoordelijkheid op de slechtst denkbare manier.

Simon OrzelSimon Orzel·

Waarom de overdracht het meest gemiste NIS 2 moment is

De meeste entiteiten bereiden zich voor op de dag waarop NIS 2 voor het eerst van toepassing is. Weinigen bereiden zich voor op de dag waarop de persoon die de uitvoering draagt overdraagt. Juist daar verschuift §38 BSIG verantwoordelijkheid stilzwijgend, verouderen BSI registratiegegevens, en raken ondertekende risicoacceptaties verweesd.

Onder art. 20 NIS 2 kan de leiding 'aansprakelijk worden gesteld'. Aansprakelijkheid hangt aan de rol, niet aan de persoon. De inkomende bestuurder erft alles wat de uitgaande heeft goedgekeurd, inclusief risico's waarover die persoon nooit is bijgepraat. Het overdrachtsprotocol zorgt ervoor dat de bijpraatsessie geregistreerd plaatsvindt.

Er is geen aparte NIS 2 overdrachtsregeling. De plichten komen uit drie bronnen: de twee-wekenregel van §33(5) BSIG voor registratiegegevens, de §38 BSIG opleidingsplicht voor het nieuwe leidinglid, en de algemene art. 20 NIS 2 goedkeurings- en toezichtsplicht die direct met de benoeming overgaat.

Drie plichten die op de overdrachtsdag actief worden
Geen ervan is optioneel, alle drie kunnen in de drukte van een overgang worden gemist.

Art. 20(1) NIS 2 + §38 BSIG (opleiding)

De lidstaten zorgen ervoor dat de leidinggevende organen van essentiële en belangrijke entiteiten aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op artikel 21. De leden van de leidinggevende organen dienen deel te nemen aan opleidingen om voldoende kennis te verwerven.

Aansprakelijkheid en opleidingsplicht gelden vanaf de dag waarop het nieuwe leidinglid wordt geregistreerd, niet op een later geschikt moment. De richtlijn kent geen wachtperiode.

§33(5) BSIG + Art. 27(2) NIS 2 (registratie-update)

Essentiële en belangrijke entiteiten delen het Bundesamt wijzigingen in de voor registratie vereiste gegevens binnen twee weken mee.

Twee-wekentermijn. De bij het BSI geregistreerde contactpersoon is het kanaal waarlangs incidentaanvragen, waarschuwingen en toezichtsbeschikkingen binnenkomen. Een verouderde contactpersoon betekent: BSI-aanvragen mislukken in stilte.

Art. 20(1) NIS 2 (continuïteit van goedkeuring)

De leidinggevende organen van essentiële en belangrijke entiteiten keuren de door die entiteiten genomen cyberbeveiligingsrisicobeheersmaatregelen goed en houden toezicht op de uitvoering ervan.

'Goedkeuren' is een doorlopende plicht. Door de uitgaande bestuurder ondertekende goedkeuringen binden de entiteit, maar de inkomende bestuurder is vanaf dag één verantwoordelijk voor het toezicht erop. Wat niet is toegelicht, kan men niet verdedigen. Daarom de bijpraatsessie bij overdracht.

Wat in de overdrachtsmap hoort
Vier artefacten. Ze bestaan al als de entiteit een ISMS voert; de overdracht maakt ze zichtbaar voor het inkomende leidinglid.

§38 BSIG opleidingsbewijzen (uitgaand)

Bewijs van deelname voor het uitgaande leidinglid. De eigen §38 opleiding van het nieuwe lid moet apart en kort na de benoeming worden geregeld.

Ondertekende risicoacceptaties

Elke regel in het risicoregister die de uitgaande CEO heeft geaccepteerd (in plaats van behandeld) is nu een verplichting die de inkomende erft. Bespreek bij overdracht, ontdek niet bij audit.

Leveranciersafhankelijkheidsoverzicht

Welke leveranciers dragen NIS 2 risico onder art. 21(2)(d). De inkomende CEO moet weten wie niet snel vervangbaar is, wie contractuele aansprakelijkheid draagt, wie aan herziening toe is.

Eigenaarschap incidentrespons

Wie heeft portaaltoegang, wie tekent meldingen, wie is de aangewezen meldverantwoordelijke. Namen, contactgegevens, escalatieketen. Dit is het document dat om 03:00 wordt opgevraagd tijdens een incident.

Drie stappen in de eerste twee weken
De twee-wekentermijn van §33(5) BSIG bepaalt het tempo. Dag 1 van het nieuwe leidinglid is dag 1 van de klok.

Stap 1 — BSI registratie bijwerken

Via het BSI-portaal volgens §33(5) BSIG: nieuwe contactpersoon, rol, contactgegevens. Twee weken vanaf benoemingsdatum. Het bestaande ELSTER-organisatiecertificaat blijft; dat verandert niet met de leiding.

Stap 2 — §38 BSIG opleiding plannen

Het nieuwe lid is verplicht tot opleiding in cyberbeveiligingsrisicobeheer. Geen vaste termijn in de BSIG maar 'onverwijld' volgens §38(2). Plan binnen het eerste kwartaal van de nieuwe rol.

Stap 3 — Uitgaande goedkeuringen bevestigen of vervangen

Loop het risicoregister en de leverancierskaart door met het nieuwe lid. Eigen handtekening onder wat blijft, eigen beslissing over wat opnieuw moet worden bekeken. Documenteer de bijpraatdatum.

Drie dingen die stil misgaan
Alle drie zijn stille uitvalmodi. Ze tonen zich pas bij een incident of audit.

  • BSI contact nooit bijgewerkt

    De twee-wekenklok van §33(5) loopt op de achtergrond van een drukke overgang. Gemiste update betekent: BSI incidentcontact is iemand die niet meer bij de entiteit werkt. Boeterisico onder §65 BSIG plus in het ergste geval een mislukte incidentmelding.

  • Risicoacceptaties blindelings geërfd

    Inkomende CEO ondertekent de benoeming, wordt van rechtswege verantwoordelijk voor risico's die de voorganger heeft geaccepteerd. Zonder bijpraat is de positie in audit niet te verdedigen. De overdrachts-briefing is de brug.

  • §38 opleiding 'later' gepland

    Omdat geen vaste termijn is genoemd, schuift hij. Jaren gaan voorbij. Bij het volgende toezicht vraagt het BSI om bewijs en er is geen. Plan binnen het eerste kwartaal, niet 'wanneer er tijd is'.

Wat gebeurt er als de overdracht informeel blijft

Drie faalwijzen stapelen zich op. Eerst is de BSI-registratie verouderd, zodat incidentmeldingen niemand bereiken. Tweede heeft de inkomende CEO geen toelichting op geërfde risico's, zodat de auditverdediging instort. Derde ontbreekt de §38 opleiding, wat een afzonderlijke inbreuk is onder §38(3) BSIG.

Elk van de drie zet hetzelfde handhavingspad in werking: toezichtsbeschikking onder art. 32 NIS 2, mogelijk boete onder §65 BSIG, persoonlijke blootstelling van het leidinglid dat ongezien tekende. Niets daarvan is met een terugwerkende toelichting te helen.

Bronnen
  • Richtlijn (EU) 2022/2555 (NIS 2), art. 20, art. 27, art. 32, www.eur-lex.europa.eu
  • Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
  • BSI Handreichung over §38 BSIG (april 2026, versie 1.0), www.bsi.bund.de
  • NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, BSIG, BSI Handreichung §38). Het is geen juridisch advies in de zin van §2 RDG. Persoonlijke aansprakelijkheid van leidinggevende leden is een juridische vraag voor een toegelaten advocaat. Stand: 2026-06-04.

Schone overdracht vóór de volgende wisseling
Het platform produceert een overdrachtsmap met herinnering aan registratie-update, §38 opleidingsvolger en briefingsjabloon voor risicoacceptaties.
Aanmelden bij het platform