{"id":33707,"date":"2026-05-23T17:22:26","date_gmt":"2026-05-23T15:22:26","guid":{"rendered":"https:\/\/sunbytes.io\/?p=33707"},"modified":"2026-05-23T17:22:28","modified_gmt":"2026-05-23T15:22:28","slug":"nis2-managementverantwoordelijkheid","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/","title":{"rendered":"NIS2 Artikel 20: management accountability-verplichtingen voor bedrijfsleiding"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Waarom_Artikel_20_anders_is_dan_andere_NIS2-vereisten\" title=\"Waarom Artikel 20 anders is dan andere NIS2-vereisten\">Waarom Artikel 20 anders is dan andere NIS2-vereisten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#De_vijf_managementacties_onder_Artikel_20_wat_het_management_moet_doen\" title=\"De vijf managementacties onder Artikel 20: wat het management moet doen\">De vijf managementacties onder Artikel 20: wat het management moet doen<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Verplichting_1_Keur_cybersecurity-risicobeheermaatregelen_goed\" title=\"Verplichting 1: Keur cybersecurity-risicobeheermaatregelen goed\">Verplichting 1: Keur cybersecurity-risicobeheermaatregelen goed<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Verplichting_2_Houd_toezicht_op_de_implementatie_van_beveiligingsmaatregelen\" title=\"Verplichting 2: Houd toezicht op de implementatie van beveiligingsmaatregelen\">Verplichting 2: Houd toezicht op de implementatie van beveiligingsmaatregelen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Verplichting_3_Volg_regelmatige_cybersecuritytraining\" title=\"Verplichting 3: Volg regelmatige cybersecuritytraining\">Verplichting 3: Volg regelmatige cybersecuritytraining<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Verplichting_4_Persoonlijke_aansprakelijkheid_voor_governancefalen\" title=\"Verplichting 4: Persoonlijke aansprakelijkheid voor governancefalen\">Verplichting 4: Persoonlijke aansprakelijkheid voor governancefalen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Verplichting_5_Richt_doorlopende_securitygovernance_in_en_onderhoud_die\" title=\"Verplichting 5: Richt doorlopende securitygovernance in en onderhoud die\">Verplichting 5: Richt doorlopende securitygovernance in en onderhoud die<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Hoe_Artikel_20-bewijs_eruitziet_de_management-audittrail\" title=\"Hoe Artikel 20-bewijs eruitziet: de management-audittrail\">Hoe Artikel 20-bewijs eruitziet: de management-audittrail<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Nederlandse_bestuursstructuur_en_Artikel_20_de_complicatie_van_het_two-tier_model\" title=\"Nederlandse bestuursstructuur en Artikel 20: de complicatie van het two-tier model\">Nederlandse bestuursstructuur en Artikel 20: de complicatie van het two-tier model<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Wat_Nederlandse_bedrijven_moeten_weten_voordat_de_Cyberbeveiligingswet_in_werking_treedt\" title=\"Wat Nederlandse bedrijven moeten weten voordat de Cyberbeveiligingswet in werking treedt\">Wat Nederlandse bedrijven moeten weten voordat de Cyberbeveiligingswet in werking treedt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Hoe_Sunbytes_Nederlandse_organisaties_ondersteunt_bij_compliance_met_NIS2_Artikel_20\" title=\"Hoe Sunbytes Nederlandse organisaties ondersteunt bij compliance met NIS2 Artikel 20\">Hoe Sunbytes Nederlandse organisaties ondersteunt bij compliance met NIS2 Artikel 20<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">NIS2-managementverantwoordelijkheid is niet langer alleen een onderwerp voor de CISO of het securityteam. Onder Article 20 van de NIS2 Directive wordt cybersecurity governance een managementverantwoordelijkheid. NIS2 management accountability betekent dat het bestuursorgaan van een essenti\u00eble of belangrijke entiteit cybersecurity risk-management measures moet goedkeuren, toezicht moet houden op de implementatie ervan, cybersecuritytraining moet volgen en bewijs moet bewaren dat governancebeslissingen zijn gereviewd en opgevolgd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat verandert het boardgesprek. NIS2 Article 21 legt uit welke cybersecuritymaatregelen een essenti\u00eble of belangrijke entiteit moet nemen. Article 20 legt uit wie die maatregelen moet goedkeuren en erop moet toezien.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor EU-bedrijven die binnen scope van NIS2 vallen, betekent dit dat cybersecurity governance een audit trail op boardniveau nodig heeft. Een security policy die in een gedeelde map staat is niet genoeg. Management heeft bewijs nodig dat securitymaatregelen zijn gereviewd, goedgekeurd, gemonitord en opnieuw beoordeeld wanneer risico\u2019s veranderden.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dit artikel legt de vijf managementacties onder Article 20 uit, welk bewijs elke actie cre\u00ebert en hoe Nederlandse bedrijven Article 20 moeten lezen terwijl de Cyberbeveiligingswet door de laatste implementatiefase gaat.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span>TL;DR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\/eng?\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">NIS2 Article 20<\/a><\/strong> maakt cybersecurity een managementverantwoordelijkheid. Company leadership moet Article 21 security measures goedkeuren, toezicht houden op implementatie, cybersecuritytraining afronden, aansprakelijkheid onder nationaal recht begrijpen en governance op termijn actief houden. Het sterkste bewijs is niet alleen een beleidsdocument. Het is de management audit trail: bestuursnotulen, trainingsrecords, oversight reports en reviewbeslissingen.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-3c6169\">\n<li class=\" eplus-wrapper\">Article 20 is van toepassing op de management bodies van essenti\u00eble en belangrijke entiteiten.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Het bestuur kan niet een generiek IT-budget goedkeuren en dat behandelen als NIS2 oversight.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Article 20(1) koppelt liability aan infringements of Article 21, afhankelijk van nationaal recht.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Article 20(2) vereist dat leden van het bestuursorgaan training volgen.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Het praktische bewijs begint met bestuursnotulen en loopt door via regelmatige oversight.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Article 20 legt management accountability uit, maar financi\u00eble exposure zit in een aparte enforcement layer. Voor de boetedrempels en liability context, zie de breakdown van <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-boetes-en-sancties\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2-boetes en sancties<\/a><\/strong>.<\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-for-company-leadership-1024x576.webp\" alt=\"NIS2 Article 20 management accountability for company leadership\" class=\"wp-image-33581\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-for-company-leadership-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-for-company-leadership-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-for-company-leadership-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-for-company-leadership-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-for-company-leadership.webp 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Waarom_Artikel_20_anders_is_dan_andere_NIS2-vereisten\"><\/span>Waarom Artikel 20 anders is dan andere NIS2-vereisten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De meeste NIS2-guidance focust op <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\">Article 21<\/a><\/strong>. Dat is logisch. Article 21 behandelt de cybersecurity risk-management measures die bedrijven moeten implementeren, waaronder policies, incident handling, business continuity, supply chain security, vulnerability handling, access control en security training.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\/eng?\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Article 20<\/a><\/strong> is anders. Het is niet primair gericht op het technische team. Het is gericht op het management body.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat onderscheid is belangrijk, omdat Article 20 een governance duty cre\u00ebert. Management bodies moeten de cybersecurity risk-management measures goedkeuren die worden genomen om te voldoen aan Article 21, toezicht houden op de implementatie ervan en aansprakelijk kunnen worden gehouden voor infringements door de entiteit, in lijn met nationaal recht. Article 20(2) vereist ook dat leden van het management body training volgen, zodat zij risico\u2019s kunnen identificeren en cybersecurity risk-management practices kunnen beoordelen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een bestuur kan niet simpelweg zeggen: \u201cWe hebben dit aan IT overgelaten.\u201d De CISO kan het securityprogramma ontwerpen en uitvoeren. De CTO kan de implementatie leiden. De compliance officer kan evidence co\u00f6rdineren. Maar Article 20 houdt approval en oversight op managementniveau.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De praktische consequentie is eenvoudig: het bestuur moet begrijpen wat het goedkeurt. Een handtekening onder een policy is zwak bewijs als de notulen niet laten zien wat is gereviewd, wat is goedgekeurd, wie aanwezig was en hoe implementatie wordt gemonitord.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_vijf_managementacties_onder_Artikel_20_wat_het_management_moet_doen\"><\/span>De vijf managementacties onder Artikel 20: wat het management moet doen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/05-managementacties-onder-Artikel-20-1024x576.webp\" alt=\"05 managementacties onder Artikel 20\" class=\"wp-image-33709\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/05-managementacties-onder-Artikel-20-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/05-managementacties-onder-Artikel-20-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/05-managementacties-onder-Artikel-20-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/05-managementacties-onder-Artikel-20-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/05-managementacties-onder-Artikel-20.webp 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">05 managementacties onder Artikel 20<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\"><\/p>\n\n\n\n<p class=\" eplus-wrapper\">Article 20 is kort, maar cre\u00ebert meerdere praktische acties voor company leadership. Voor een bedrijf dat binnen scope van NIS2 valt, moet management vijf dingen kunnen aantonen: approval, oversight, training, liability awareness en ongoing governance.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dit zijn geen vijf afzonderlijke paragrafen in de Directive. Het zijn vijf managementacties die voortkomen uit Article 20(1), Article 20(2) en het governancewerk dat nodig is om Article 20 evidence actueel te houden.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Verplichting_1_Keur_cybersecurity-risicobeheermaatregelen_goed\"><\/span>Verplichting 1: Keur cybersecurity-risicobeheermaatregelen goed<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Article 20(1) vereist dat management bodies van essenti\u00eble en belangrijke entiteiten de cybersecurity risk-management measures goedkeuren die door die entiteiten worden genomen om te voldoen aan Article 21.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat betekent dat approval moet verwijzen naar de securitymaatregelen die NIS2 verwacht, niet alleen naar een algemeen IT- of securitybudget.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">In de praktijk moet approval plaatsvinden als agenda-item op boardniveau. Het management body moet het Article 21-programma ontvangen, de maatregelen reviewen, vragen stellen over risico en dekking, en de approval vastleggen in bestuursnotulen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een zwakke approval record zegt: \u201cCybersecurity update besproken.\u201d<br>Een sterkere approval record zegt: \u201cThe board reviewed and approved the NIS2 Article 21 cybersecurity risk-management programme, including access control, incident handling, supply chain security, business continuity, vulnerability handling, and training measures.\u201d<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De tweede versie cre\u00ebert een audit trail. Het laat zien dat het bestuur een gedefinieerd programma heeft goedgekeurd, niet een abstracte securityambitie.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Obligation box \u2014 Article 20(1): Management bodies must approve the cybersecurity risk-management measures taken to comply with Article 21.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Evidence required: Bestuursnotulen die de presentatie, review en formele approval van het Article 21 cybersecurity risk-management programme documenteren. De notulen moeten de datum, aanwezigen, beslissing en eventuele voorwaarden of follow-up actions vastleggen.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Verplichting_2_Houd_toezicht_op_de_implementatie_van_beveiligingsmaatregelen\"><\/span>Verplichting 2: Houd toezicht op de implementatie van beveiligingsmaatregelen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Article 20(1) vereist dat management bodies toezicht houden op de implementatie van de goedgekeurde cybersecurity risk-management measures. Het bestuur hoeft geen firewall rules of vulnerability tickets te managen. Het heeft wel een gecontroleerd proces nodig om te controleren of het goedgekeurde programma wordt ge\u00efmplementeerd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Hier ontstaat bij veel bedrijven een gap. Ze keuren een security roadmap \u00e9\u00e9n keer goed en behandelen implementatie daarna als een IT-zaak. Onder Article 20 moet het bestuur regelmatige statusrapportages ontvangen. Die rapportage moet drie vragen beantwoorden:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-464847\">\n<li class=\" eplus-wrapper\">Welke maatregelen zijn ge\u00efmplementeerd?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Welke maatregelen zijn vertraagd of incompleet?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Welke risico\u2019s vereisen een board-level decision of budget?<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Voor sectoren met een hoger risico is kwartaalrapportage op boardniveau een praktische baseline. Voor bedrijven met lagere risk exposure kan de cadence anders zijn, maar het principe blijft hetzelfde: implementation oversight moet worden gedocumenteerd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Security incidents moeten ook terugkomen in de board cycle. Als er een materieel incident plaatsvindt, moet management de incident outcome, de control gap, de remediation decision en de vraag of het Article 21-programma moet worden aangepast kunnen zien.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Obligation box \u2014 Article 20(1): Management bodies must oversee the implementation of the cybersecurity risk-management measures they approve.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Evidence required: Kwartaalrapportages over securitystatus, board- of commissienotulen waaruit review van implementation status blijkt, incident escalation records en gedocumenteerde beslissingen over unresolved risks.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Incident oversight hangt ook af van timing. Als management pas over een materieel incident hoort nadat het reporting window is verstreken, is het governanceproces al zwak. Leadership moet begrijpen hoe de <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-23-incident-reporting\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Article 23 incident reporting timeline<\/a> <\/strong>werkt, omdat de 24-uurs-, 72-uurs- en \u00e9\u00e9nmaandstappen invloed hebben op zowel operational response als board-level reporting.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Verplichting_3_Volg_regelmatige_cybersecuritytraining\"><\/span>Verplichting 3: Volg regelmatige cybersecuritytraining<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Article 20(2) vereist dat leden van de management bodies van essenti\u00eble en belangrijke entiteiten training volgen. Het doel is niet alleen basic awareness. De training moet hen helpen voldoende kennis en vaardigheden te krijgen om risico\u2019s te identificeren en cybersecurity risk-management practices en hun impact op de diensten van de entiteit te beoordelen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dit is belangrijk omdat Article 20 informed approval verwacht. Een board member kan een cybersecurity risk-management programme niet beoordelen als hij of zij de risico\u2019s, maatregelen of operationele impact niet begrijpt. Training moet de management-level topics behandelen die Article 20 cre\u00ebert:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-3226c4\">\n<li class=\" eplus-wrapper\">wat NIS2 van de organisatie vereist;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">hoe Article 20 verbonden is met Article 21 measures<\/li>\n\n\n\n<li class=\" eplus-wrapper\">welke risico\u2019s de diensten van de entiteit raken;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">hoe incidenten worden ge\u00ebscaleerd en gereviewd;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">welk bewijs nodig is voor oversight;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">hoe liability onder nationaal recht kan gelden.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Een generieke cyber awareness-module van \u00e9\u00e9n uur is waarschijnlijk niet genoeg voor board-level accountability. De training moet management helpen betere beslissingen te nemen over risico, funding, priorities en oversight.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Obligation box \u2014 Article 20(2): Management body members must follow training so they can identify risks and assess cybersecurity risk-management practices and their impact on the services provided by the entity.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Evidence required: Training completion records voor alle leden van het management body, trainingscontent, attendance records, datums en een trainingsschema dat regelmatige vernieuwing laat zien.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Verplichting_4_Persoonlijke_aansprakelijkheid_voor_governancefalen\"><\/span>Verplichting 4: Persoonlijke aansprakelijkheid voor governancefalen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">De liability language staat in Article 20(1). Daar staat dat management bodies aansprakelijk kunnen worden gehouden voor infringements door de entiteit van Article 21, in accordance with national law. Dat betekent dat liability afhangt van de implementatie en nationale liability rules van elke lidstaat.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor managementteams is het praktische punt niet om te speculeren over boetes tegen individuele bestuurders. Het praktische punt is om governance gaps weg te nemen die liability makkelijker te beargumenteren maken. Een governance failure kan er zo uitzien:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-af50a2\">\n<li class=\" eplus-wrapper\">het Article 21-programma is nooit goedgekeurd door het management body;<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">cybersecurity<\/a><\/strong> stond niet op de board agenda;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">het bestuur kreeg geen training;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">security incidents bereikten nooit managementniveau;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">risico\u2019s waren bekend, maar er werd geen beslissing vastgelegd;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">het bedrijf kan niet aantonen wie cybersecurity oversight ownede.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">\u201cWe trusted our CISO\u201d is geen sterk verweer tegen een Article 20 governance failure. De CISO kan het programma uitvoeren. Het management body moet goedkeuren, toezicht houden en voldoende getraind blijven om het te beoordelen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor board members betekent dit dat de audit trail ertoe doet. Notulen, trainingsrecords, risk decisions, incident review notes en governance frameworks zijn geen adminwerk. Ze zijn het bewijs dat management Article 20 serieus heeft genomen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Personal liability box \u2014 Article 20(1): Article 20(1) states that management bodies can be held liable for infringements by the entity of Article 21, in accordance with national law. Treat liability niet als een EU-wide one-size-fits-all rule. Controleer de nationale implementatie die op je entiteit van toepassing is.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Evidence required: Governance framework dat board-level cybersecurity responsibility documenteert, risk acceptance records, D&amp;O insurance review waar relevant, en bestuursnotulen die Article 21 oversight decisions laten zien.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Article 20 legt uit wie security measures moet goedkeuren en erop moet toezien. De enforcement layer zit apart, dus managementteams moeten ook begrijpen hoe <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-boetes-en-sancties\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 fines and personal liability <\/a><\/strong>onder nationaal recht kunnen gelden.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Verplichting_5_Richt_doorlopende_securitygovernance_in_en_onderhoud_die\"><\/span>Verplichting 5: Richt doorlopende securitygovernance in en onderhoud die<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Een management body kan het Article 21-programma \u00e9\u00e9n keer goedkeuren en alsnog falen in governance als het programma nooit meer wordt gereviewd. Cybersecurityrisico verandert wanneer het bedrijf nieuwe digitale diensten lanceert, leveranciers wijzigt, een nieuwe markt betreedt, een ander bedrijf overneemt of een materieel incident meemaakt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Ongoing governance betekent dat het bestuur een terugkerend ritme heeft voor cybersecurity oversight. Minimaal moet dit een jaarlijkse review van het cybersecurity risk-management programme omvatten. Voor higher-risk entities kan kwartaalreview passender zijn.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het governance rhythm moet ook triggered reviews bevatten. Die vinden plaats wanneer iets genoeg verandert om het risicoprofiel te be\u00efnvloeden. Voorbeelden zijn een grote cloud migration, een nieuwe kritieke leverancier, een security incident, een wijziging in gereguleerde diensten of een nieuw board member dat toetreedt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het doel is om management oversight actueel te houden. Article 20 evidence moet laten zien dat cybersecurity governance meebewoog met de business, niet dat het bestuur \u00e9\u00e9n keer een policy goedkeurde en die daarna onaangeraakt liet.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Obligation box \u2014 Article 20 ongoing application: Management bodies should keep cybersecurity governance active over time through recurring review, incident review, and risk-based updates to the approved programme.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Evidence required: programme review minutes, post-incident board review records, governance framework updates, board agenda records en induction evidence voor nieuwe leden van het management body.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Article 20 verandert NIS2 van een technische checklist in een managementverantwoordelijkheid. <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes Compliance Readiness<\/a><\/strong> helpt organisaties beoordelen waar governance-, security measures- en evidence gaps kunnen bestaan voordat implementatiewerk urgent wordt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Artikel_20-bewijs_eruitziet_de_management-audittrail\"><\/span>Hoe Artikel 20-bewijs eruitziet: de management-audittrail<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Article 20 evidence moet laten zien dat management drie dingen heeft gedaan: informed decisions genomen, implementation gemonitord en de governance cycle actief gehouden.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor de meeste organisaties begint de evidence trail met bestuursnotulen. Zonder notulen die approval en oversight laten zien, kan het bedrijf technische securitymaatregelen op orde hebben, maar zwakke management accountability evidence. Evidence expectations kunnen verschillen per Member State, sector, authority en definitieve nationale implementatie.<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Article 20 management action<\/th><th>Document or evidence<\/th><th>What reviewers may look for<\/th><th>Practical frequency<\/th><\/tr><\/thead><tbody><tr><td>Approve cybersecurity risk-management measures<\/td><td>Board minutes approving the Article 21 programme<\/td><td>Minutes reference specific measures, decision date, attendees, and formal approval<\/td><td>Annual review minimum<\/td><\/tr><tr><td>Oversee implementation<\/td><td>Security status reports and board minutes<\/td><td>Security status appears as a recurring agenda item; open risks and incidents reach management level<\/td><td>Quarterly or risk-based<\/td><\/tr><tr><td>Complete cybersecurity training<\/td><td>Training records per management body member<\/td><td>Training covers NIS2, Article 20, Article 21, risk assessment, incident escalation, and service impact<\/td><td>Regular training cycle<\/td><\/tr><tr><td>Understand liability under national law<\/td><td>Governance framework and risk decision records<\/td><td>Cybersecurity ownership is defined; risk acceptance decisions are recorded; insurance assumptions are checked<\/td><td>Annual review and triggered review<\/td><\/tr><tr><td>Maintain ongoing governance<\/td><td>Annual review and post-incident review records<\/td><td>Programme is updated after incidents, material business changes, or new risk information<\/td><td>Annual plus triggered reviews<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Artikel 20-bewijs eruitziet: de management-audittrail<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">Evidence requirements should be reviewed by a NIS2 compliance specialist before publication as definitive guidance. The Directive sets the governance requirements, while detailed expectations may depend on national law and supervisory practice.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Zodra leadership begrijpt welke records approval, oversight, training en review bewijzen, is de volgende taak om dat bewijs zo te organiseren dat het kan worden gebruikt tijdens een audit, buyer due diligence request of supervisory review. Een gestructureerde <strong>management accountability evidence pack <\/strong>helpt board-level evidence te scheiden van technical control evidence, zodat het bedrijf zowel governance als implementation kan aantonen.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Nederlandse_bestuursstructuur_en_Artikel_20_de_complicatie_van_het_two-tier_model\"><\/span>Nederlandse bestuursstructuur en Artikel 20: de complicatie van het two-tier model<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse bedrijven heeft het Article 20-gesprek \u00e9\u00e9n extra laag nodig: board structure. Veel Nederlandse bedrijven gebruiken een two-tier model. Het management board \u2014 bestuur of Raad van Bestuur \u2014 behandelt day-to-day management en strategische richting. De supervisory board \u2014 Raad van Commissarissen \u2014 houdt toezicht op het management board.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Article 20 verwijst naar het \u201cmanagement body.\u201d In een Nederlandse context zal het management board meestal het primaire orgaan zijn voor approval en implementation oversight. Maar supervisory boards moeten NIS2 niet negeren. Als cybersecurity oversight binnen de remit van de supervisory board valt, of als de RvC risk governance breder superviseert, moet deze worden gebrieft over Article 20 en de juiste oversight information ontvangen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor een Nederlandse BV met een DGA-structuur wordt het punt directer. Als de directeur-grootaandeelhouder het management body is, wordt Article 20 responsibility niet verspreid over een brede boardstructuur. De DGA moet begrijpen wat is goedgekeurd, wat wordt ge\u00efmplementeerd en welk bewijs bestaat.<\/p>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Dutch-board-structure-and-NIS2-Article-20-management-accountability-1024x683.webp\" alt=\"Dutch board structure and NIS2 Article 20 management accountability\" class=\"wp-image-33583\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Dutch-board-structure-and-NIS2-Article-20-management-accountability-1024x683.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Dutch-board-structure-and-NIS2-Article-20-management-accountability-300x200.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Dutch-board-structure-and-NIS2-Article-20-management-accountability-768x512.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Dutch-board-structure-and-NIS2-Article-20-management-accountability.webp 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_Nederlandse_bedrijven_moeten_weten_voordat_de_Cyberbeveiligingswet_in_werking_treedt\"><\/span>Wat Nederlandse bedrijven moeten weten voordat de Cyberbeveiligingswet in werking treedt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">De verplichtingen in de NIS2 Directive treden in Nederland in werking zodra de <a href=\"https:\/\/business.gov.nl\/amendments\/nis2-directive-protects-network-information-systems\/\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Cybersecurity Act in werking treedt<\/a>, terwijl de Wbni tot die tijd blijft gelden voor organisaties die daar al onder vallen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Per mei 2026 heeft de Tweede Kamer de <a href=\"https:\/\/www.nldigitalgovernment.nl\/nis2-directive-cyberbeveiligingswet-cbw\/\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Cyberbeveiligingswet<\/a> en de Wet weerbaarheid kritieke entiteiten goedgekeurd. De Cbw wordt naar verwachting rond <a href=\"https:\/\/business.gov.nl\/amendments\/nis2-directive-protects-network-information-systems\/\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">1 juli 2026<\/a> van kracht, afhankelijk van de resterende parlementaire procedure. Zodra de wet in werking treedt, vervangt deze de huidige Wbni voor organisaties die onder het nieuwe Nederlandse NIS2-framework vallen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse organisaties is de veiligste formulering daarom:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-e486ec\">\n<li class=\" eplus-wrapper\">gebruik NIS2 Article 20 nu als de EU governance standard om je op voor te bereiden;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">behandel de Cbw als de verwachte Nederlandse implementatieroute;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">houd de Wbni in gedachten als de organisatie al onder het bestaande Nederlandse framework valt;<\/li>\n\n\n\n<li class=\" eplus-wrapper\">verifieer de definitieve Nederlandse requirements zodra de Cbw en gerelateerde lagere regelgeving van kracht zijn.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse bedrijven moet Article 20 preparation zowel het management board als, waar relevant, de supervisory board omvatten. Het management board is meestal het primaire orgaan voor approval en oversight. De supervisory board moet worden gebrieft wanneer cybersecurity risk binnen zijn oversight mandate valt. Voor een BV geleid door een DGA moet de directeur Article 20 behandelen als een directe governance responsibility.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_Nederlandse_organisaties_ondersteunt_bij_compliance_met_NIS2_Artikel_20\"><\/span>Hoe Sunbytes Nederlandse organisaties ondersteunt bij compliance met NIS2 Artikel 20<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Article 20 compliance begint met governance clarity. Leadership moet weten welke NIS2 measures zijn goedgekeurd, welke gaps nog bestaan en welk bewijs er is om de genomen beslissingen te ondersteunen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/sunbytes.io\/nl\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes<\/a> ondersteunt NIS2 readiness door organisaties te helpen hun huidige security posture te beoordelen, gaps tegenover NIS2 requirements te identificeren en remediation work te prioriteren. Voor leadership teams cre\u00ebert dit een duidelijker beeld van waar technical controls, governance ownership en evidence preparation aandacht nodig hebben v\u00f3\u00f3r een audit, buyer due diligence review of supervisory request.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dit is niet alleen een documentation exercise. Article 20 hangt af van de vraag of het Article 21 security programme echt genoeg is om goed te keuren en te tracken. Het cybersecuritywerk van Sunbytes helpt controls te mappen naar NIS2 expectations en evidence te produceren die door management kan worden gereviewd.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het bredere delivery model is ook belangrijk:<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-181964\">\n<li class=\" eplus-wrapper\">Sunbytes\u2019 <strong><a href=\"https:\/\/sunbytes.io\/nl\/tech-services\/\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Business Transformation Solutions <\/a><\/strong>supporten de technical implementation side: secure-by-design architecture, delivery processes en development work die nodig zijn om control gaps te sluiten.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Sunbytes\u2019 <strong><a href=\"https:\/\/sunbytes.io\/nl\/human-resource-services\/\" target=\"_blank\" rel=\"noreferrer noopener\">Accelerate Workforce Solutions<\/a><\/strong> supporten de people-risk layer: vetted teams, access control discipline, onboarding en offboarding processes die vermijdbare exposure verminderen.<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Voor <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Secure engagements<\/a><\/strong> verankert Sunbytes het werk in evidence:<strong><a href=\"https:\/\/sunbytes.io\/nl\/sunbytes-is-iso-27001-certified\/\" target=\"_blank\" rel=\"noreferrer noopener\"> ISO 27001 certification<\/a><\/strong>, DPA discipline, audit trails en control mapping waar relevant. Het doel is geen generieke uitspraak dat het bedrijf \u201cworking on NIS2\u201d is. Het doel is een readiness view die management kan gebruiken om beslissingen te nemen.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Als je leadership team moet begrijpen waar Article 20 governance gaps kunnen bestaan, begin dan met de <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybersecurity-compliance-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 compliance readiness<\/a><\/strong> service en bouw een duidelijker pad van security measures naar management evidence.<\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_139af69a4bf9892d6d5964fa5899d3cc\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Wat vereist NIS2 Artikel 20 van bestuursorganen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>NIS2 Artikel 20 verplicht bestuursorganen van essenti\u00eble en belangrijke entiteiten om cybersecurity-risicobeheermaatregelen goed te keuren, toezicht te houden op implementatie en training te volgen. Artikel 20(1) koppelt aansprakelijkheid ook aan inbreuken op Artikel 21, onder voorbehoud van nationale wetgeving. Het praktische resultaat is dat cybersecurity goedkeuring, toezicht en bewijs op bestuursniveau nodig heeft.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Is Artikel 20 anders dan GDPR-vereisten voor bestuursverantwoordelijkheid?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Ja. GDPR Artikel 5(2) stelt het accountability-principe voor verwerkingsverantwoordelijken vast, wat betekent dat zij compliance moeten kunnen aantonen. NIS2 Artikel 20 is specifieker over bestuursorganen: het vereist goedkeuring van en toezicht op cybersecurity-risicobeheermaatregelen, training voor leden van het bestuursorgaan en aansprakelijkheidsbehandeling onder nationale wetgeving.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Wat moet een bestuursnotule bevatten voor Artikel 20-goedkeuring?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Een bruikbare bestuursnotule moet vijf items vastleggen: het Artikel 21-programma voor cybersecurity-risicobeheer is gepresenteerd, het bestuur heeft het beoordeeld en goedgekeurd, de aanwezige bestuursleden, de datum van goedkeuring en eventuele voorwaarden of vervolgacties. De notule moet verwijzen naar het specifieke programma of de specifieke maatregelen die zijn beoordeeld, niet alleen naar \u201ccybersecurity besproken\u201d.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Voldoet de rol van onze CISO aan de toezichtverplichting onder Artikel 20?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Nee. De CISO kan het securityprogramma ontwerpen, uitvoeren en erover rapporteren, maar het toezicht onder Artikel 20 ligt bij het bestuursorgaan. Voor Artikel 20-doeleinden rapporteert de CISO aan het management. Het bestuur kan de volledige verplichting niet aan de CISO delegeren en vervolgens afstand nemen.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-4\" aria-expanded=\"false\" aria-controls=\"faq-4\">\n                Hoe vaak moet het bestuur het securityprogramma beoordelen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-4\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p data-start=\"25266\" data-end=\"25623\">NIS2 stelt in Artikel 20 geen vaste frequentie vast voor bestuursbeoordelingen. Een praktische basislijn is minimaal jaarlijkse beoordeling, met frequentere beoordeling voor sectoren met een hoger risico of bij materi\u00eble veranderingen. Incidenten, grote leverancierswijzigingen, M&amp;A-activiteit en nieuwe digitale diensten moeten extra beoordeling triggeren.<\/p>\n<h3 data-section-id=\"1gcgflj\" data-start=\"25625\" data-end=\"25718\"><\/h3>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-5\" aria-expanded=\"false\" aria-controls=\"faq-5\">\n                Kan een directeur van een Nederlandse BV persoonlijk aansprakelijk zijn onder Artikel 20?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-5\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Artikel 20(1) zegt dat bestuursorganen aansprakelijk kunnen worden gehouden voor inbreuken door de entiteit op Artikel 21, in overeenstemming met nationale wetgeving. Voor een Nederlandse BV hangt de exacte aansprakelijkheidsroute af van de Nederlandse implementatie en algemene Nederlandse aansprakelijkheidsregels. Een DGA of directeur moet er niet van uitgaan dat een kleine bestuursstructuur de noodzaak voor gedocumenteerde goedkeuring, toezicht en training vermindert.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-6\" aria-expanded=\"false\" aria-controls=\"faq-6\">\n                Welk bewijs moet een bedrijf als eerste voorbereiden?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-6\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Begin met bestuursnotulen waarin het Artikel 21-programma wordt goedgekeurd, trainingsregistraties van het management en een terugkerende securitystatusrapportage. Deze drie registraties tonen goedkeuring, training en toezicht aan. Meer gedetailleerd bewijs kan daarna worden georganiseerd via een evidence pack voor managementverantwoordelijkheid.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" id=\"spacer\" class=\" wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_43531a69e763210fa293e42ed9b34c7d\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_11' ><div id='gf_11' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_11' id='gform_11'  action='\/nl\/wp-json\/wp\/v2\/posts\/33707#gf_11' data-formid='11' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_11' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_11_12\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_12\" ><label class='gfield_label gform-field-label' for='input_11_12'>Uw naam<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_12' id='input_11_12' type='text' value='' class='large'    placeholder='Uw naam' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_2\" ><label class='gfield_label gform-field-label' for='input_11_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_11_2' type='text' value='' class='large'    placeholder='Organisatie' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_16\" ><label class='gfield_label gform-field-label' for='input_11_16'>Functietitel<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_11_16' type='text' value='' class='large'    placeholder='Functietitel' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_3\" ><label class='gfield_label gform-field-label' for='input_11_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_11_3' type='email' value='' class='large'   placeholder='E-mailadres' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_11_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_13\" ><label class='gfield_label gform-field-label' for='input_11_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_11_13' type='tel' value='' class='large'  placeholder='Telefoonnummer'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_11_17\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_17\" ><label class='gfield_label gform-field-label' for='input_11_17'>Land<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_17' id='input_11_17' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Land<\/option><option value='Australia\/New Zealand (ANZ)' >Australia\/New Zealand (ANZ)<\/option><option value='Canada' >Canada<\/option><option value='Germany' >Germany<\/option><option value='Hong Kong' >Hong Kong<\/option><option value='Netherlands' >Netherlands<\/option><option value='Singapore' >Singapore<\/option><option value='United Kingdom' >United Kingdom<\/option><option value='United States of America' >United States of America<\/option><option value='Vietnam' >Vietnam<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_11\" ><label class='gfield_label gform-field-label' for='input_11_11'>Requirements<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_11_11' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Waar heeft u interesse in?<\/option><option value='Maatwerk Software ontwikkeling' >Maatwerk Software ontwikkeling<\/option><option value='Dedicated specialisten' >Dedicated specialisten<\/option><option value='Cybersecurity diensten' >Cybersecurity diensten<\/option><option value='HR Diensten' >HR Diensten<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_18\" ><label class='gfield_label gform-field-label' for='input_11_18'>Hoe heb je over ons gehoord?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_11_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Hoe heb je over ons gehoord?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Doorverwijzing' >Doorverwijzing<\/option><option value='Zoekmachine (Google, Bing, etc)' >Zoekmachine (Google, Bing, etc)<\/option><option value='Email' >Email<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_19\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_19\" ><label class='gfield_label gform-field-label' for='input_11_19'>Aanvullende informatie over uw verzoek.<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_19' id='input_11_19' class='textarea large'    placeholder='Aanvullende informatie over uw verzoek.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_11_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_7'><div class='gchoice gchoice_11_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.'  id='choice_11_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_7_1' id='label_11_7_1' class='gform-field-label gform-field-label--type-inline'>Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_11_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_14'><div class='gchoice gchoice_11_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='Ik ga akkoord met &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;de algemene voorwaarden &lt;\/a&gt;'  id='choice_11_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_14_1' id='label_11_14_1' class='gform-field-label gform-field-label--type-inline'>Ik ga akkoord met <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">de algemene voorwaarden <\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_11_15\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_15\" ><label class='gfield_label gform-field-label' for='input_11_15'>Captcha<\/label><div id='input_11_15' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_11_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_20\" ><label class='gfield_label gform-field-label' for='input_11_20'>Comments<\/label><div class='ginput_container'><input name='input_20' id='input_11_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_11_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_11' class='gform_button button' value='Verstuur!'  onclick='if(window[\"gf_submitting_11\"]){return false;}  if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_11\"]){return false;} if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  jQuery(\"#gform_11\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=11&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_11' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='11' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_11' value='WyJbXSIsImMzZmY3ZDRjNjM0NWY0MGNlNjVlNjMzNWJlZThmMWVlIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_11' id='gform_target_page_number_11' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_11' id='gform_source_page_number_11' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"179\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_11' id='gform_ajax_frame_11' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_11').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_11');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_11').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_11').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_11').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_11').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_11').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_11').val();gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [11, current_page]);window['gf_submitting_11'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_11').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_11').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [11]);window['gf_submitting_11'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_11').text());}, 50);}else{jQuery('#gform_11').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"11\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_11\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_11\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_11\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [11, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 11, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>NIS2-managementverantwoordelijkheid is niet langer alleen een onderwerp voor de CISO of het securityteam. Onder Article 20 van de NIS2 Directive wordt cybersecurity governance een managementverantwoordelijkheid. NIS2 management accountability betekent dat het bestuursorgaan van een essenti\u00eble of belangrijke entiteit cybersecurity risk-management measures moet goedkeuren, toezicht moet houden op de implementatie ervan, cybersecuritytraining moet volgen en bewijs &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":33585,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>NIS2-managementverantwoordelijkheid | Sunbytes<\/title>\n<meta name=\"description\" content=\"Leer wat NIS2-managementverantwoordelijkheid etekent onder Article 20, wat besturen moeten goedkeuren en welk bewijs je moet voorbereiden voor audit readiness.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS2-managementverantwoordelijkheid | Sunbytes\" \/>\n<meta property=\"og:description\" content=\"Leer wat NIS2-managementverantwoordelijkheid etekent onder Article 20, wat besturen moeten goedkeuren en welk bewijs je moet voorbereiden voor audit readiness.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-23T15:22:26+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-23T15:22:28+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-obligations-for-company-leadership.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"NIS2 Artikel 20: management accountability-verplichtingen voor bedrijfsleiding\",\"datePublished\":\"2026-05-23T15:22:26+00:00\",\"dateModified\":\"2026-05-23T15:22:28+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\"},\"wordCount\":2810,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\",\"name\":\"NIS2-managementverantwoordelijkheid | Sunbytes\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-05-23T15:22:26+00:00\",\"dateModified\":\"2026-05-23T15:22:28+00:00\",\"description\":\"Leer wat NIS2-managementverantwoordelijkheid etekent onder Article 20, wat besturen moeten goedkeuren en welk bewijs je moet voorbereiden voor audit readiness.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"NIS2 Artikel 20: management accountability-verplichtingen voor bedrijfsleiding\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"NIS2-managementverantwoordelijkheid | Sunbytes","description":"Leer wat NIS2-managementverantwoordelijkheid etekent onder Article 20, wat besturen moeten goedkeuren en welk bewijs je moet voorbereiden voor audit readiness.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/","og_locale":"nl_NL","og_type":"article","og_title":"NIS2-managementverantwoordelijkheid | Sunbytes","og_description":"Leer wat NIS2-managementverantwoordelijkheid etekent onder Article 20, wat besturen moeten goedkeuren en welk bewijs je moet voorbereiden voor audit readiness.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-05-23T15:22:26+00:00","article_modified_time":"2026-05-23T15:22:28+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-Article-20-management-accountability-obligations-for-company-leadership.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"14 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"NIS2 Artikel 20: management accountability-verplichtingen voor bedrijfsleiding","datePublished":"2026-05-23T15:22:26+00:00","dateModified":"2026-05-23T15:22:28+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/"},"wordCount":2810,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/","name":"NIS2-managementverantwoordelijkheid | Sunbytes","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-05-23T15:22:26+00:00","dateModified":"2026-05-23T15:22:28+00:00","description":"Leer wat NIS2-managementverantwoordelijkheid etekent onder Article 20, wat besturen moeten goedkeuren en welk bewijs je moet voorbereiden voor audit readiness.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"NIS2 Artikel 20: management accountability-verplichtingen voor bedrijfsleiding"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/33707"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=33707"}],"version-history":[{"count":0,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/33707\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/33585"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=33707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=33707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=33707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}