Nieuws 09 april 2024

Bestuurders straks aansprakelijk bij falend cybersecuritybeleid

Vanaf 2025 zijn bestuurders van bedrijven persoonlijk verantwoordelijk voor cybersecuritybeleid. Veel bestuurders zijn niet op de hoogte van NIS2, de nieuwe Europese regelgeving die straks voor ruim tienduizend bedrijven geldt.

Daarvoor waarschuwt de Cyber Security Raad (CSR) in het FD. De CSR, die de overheid adviseert op het gebied van cybersecurity, constateert dat veel bedrijven en hun bestuurders nog niet op de hoogte zijn van de aankomende veranderingen.

"Als gevolg van nieuwe Europese regels moeten bestuurders straks de maatregelen om cyberrisico's te beheren goedkeuren en toezien op uitvoering ervan. Ze moeten ook meehelpen om de cyberveiligheid bij hun directe toeleveranciers te waarborgen", aldus de CSR.

Boetes

Als een bedrijf tekortschiet op het gebied van cybersecurity dan kan dat leiden tot waarschuwingen en boetes. Die boetes zijn niet mals: de boetebedragen gaan tot maximaal twee procent van de jaaromzet. Als dat niet leidt tot de gewenste verbetering, dan kunnen bestuurders persoonlijk aansprakelijk worden gesteld en zelfs tijdelijk uit hun functie worden gezet. De persoonlijke aansprakelijkheid geldt ook voor commissarissen.

Ongeveer duizend 'essentiële bedrijven', zoals bijvoorbeeld energie-, en telecombedrijven, vallen al onder een deel van de regels. Deze bedrijven kennen al een meldplicht bij cyberincidenten. NIS2 geldt straks voor ongeveer tienduizend bedrijven.

Advocaat en hoogleraar Lokke Moerel van de CSR zegt tegen het FD dat veel bedrijven geen idee hebben dat ze straks onder toezicht staan. De nieuwe regels zijn volgens Moerel het gevolg van jarenlange laksheid op het gebied van cybersecurity. Veel bedrijven zouden nogal laconiek reageren op oproepen van de overheid en experts om de digitale beveiliging op te schroeven. Daarom is het logisch dat wetgevers nu naar zwaardere middelen grijpen, vindt zij.

Criteria

NIS2 geldt straks voor alle bedrijven die in de aangewezen sectoren actief zijn, meer dan tien miljoen omzet hebben en minimaal vijftig medewerkers hebben. De overheid gaat hen niet actief informeren; dat moeten bedrijven zelf onderzoeken aan de hand van een online vragenlijst, die ontwikkeld is in samenwerking met de Rijksinspectie Digitale Infrastructuur (RDI).

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als 'essentiële' of 'belangrijke' entiteit.

"Automatisch wil zeggen dat essentiële en belangrijke entiteiten niet noodzakelijk worden aangewezen en de verplichtingen van de NIS2-richtlijnen voor deze organisaties direct gaan gelden zodra de nationale wetgeving eind 2024 in werking treedt. Dat betekent dat deze organisaties nog een jaar de tijd hebben om zich voor te bereiden op de verplichtingen van de aankomende wetgeving", aldus de overheid.

Voorstanders

Werkgeversorganisatie VNO-NCW probeert met informatiesessies zoveel mogelijk bedrijven te informeren, maar merkt dat de bestuurdersaansprakelijkheid en verantwoordelijkheid voor de veiligheid bij toeleveranciers onbekend is bij veel organisaties, zelfs bij de organisaties die al onder NIS1 vallen.

De werkgeversorganisatie is wel voorstander van de nieuwe regels, omdat zij hoopt dat het voor veel bedrijven de doorslaggevende wake-up call is om cybersecurity serieus te nemen. VNO-NCW hoopt wel dat toezichthouders niet meteen met boetes gaan zwaaien, maar de kans aangrijpen om in dialoog te gaan als een bedrijf de zaken niet op orde heeft.

Essentieel

Ellen Mok, expert cybersecurity bij KPMG, vindt het met toenemende cyberdreigingen belangrijk dat deze verantwoordelijkheid serieus wordt genomen. "Dit is een essentieel onderdeel van het risicomanagement en de bedrijfsstrategie. De SER onderstreept dit, maar wat ons betreft is het geen nieuws; dit is de kern van goed bestuur. De boodschap is helder: het is hoog tijd om cybersecurity als prioriteit te behandelen en te zorgen dat het bestuur beschikt over voldoende kennis op dit gebied."

Volgens Mok beschermt het bestuur zo niet alleen de organisatie, maar ook de belangen van stakeholders en de maatschappij. "Wat ons betreft draagt het bestuur van elke organisatie de verantwoordelijkheid voor alle aspecten van een toekomstbestendige organisatie, zo ook de cyberveiligheid."

Keten cyberweerbaar

Simone Pelkmans, partner Risk Advisory en hoofd van het Digital Regulations Team bij Deloitte, denkt dat grotere vitale organisaties hun cybersecurity en cyberweerbaarheid al hebben ingericht, waardoor ze intussen grotendeels compliant zijn. "Maar bij de naar schatting tienduizend organisaties waarvoor NIS2 nieuw is, is er werk aan de winkel. Aangezien cybersecurity in de top drie risico’s van de meeste bedrijven en organisaties staat, is het goed dat door middel van Europese regelgeving zowel een hoger niveau van cybersecurity als een gelijk speelveld wordt gecreëerd."

Pelkmans vindt het ook een goede ontwikkeling dat cybersecurity nu verplicht een board topic wordt en er ook een taak voor de RvC ligt. "Het 'weten' wat NIS2 inhoudt en het borgen van een hoger kennisniveau van cybersecurity en cyberweerbaarheid, is belangrijk: De wereld van technologie en cybersecurity verandert enorm snel en omdat digitaal alles met elkaar verbonden is, is de impact van cyberincidenten meestal enorm groot."

Pelkmans benadrukt dat de CISO/CIO een cruciale rol speelt. "Maar het kan niet zo zijn dat de verantwoordelijkheid alleen bij die functie wordt neergelegd en dat is in onze visie een goede ontwikkeling. Wat betreft cybersecuritymanagement in de keten, is het natuurlijk zo dat alleen wanneer de hele keten cyberweerbaar is, de vereiste hoge mate van cybersecurity kan worden gewaarborgd."

• NIS2 Zelfevaluatie NL
• NCTV: 'Valt uw organisatie onder de CER en NIS2-richtlijnen?'