Voorbij de firewall: bestuurdersaansprakelijkheid onder de NIS2-richtlijn

In een tijdperk waarin de digitale dreigingen zich sneller ontwikkelen dan ooit tevoren, staat de NIS2-richtlijn vanaf het najaar van 2024 klaar ter bewapening tegen cyberaanvallen en andere digitale dreigingen. De Europese richtlijn stelt strengere beveiligingsnormen voor de organisatie zelf, maar kent hierbij ook een rol toe aan de bestuurders. Bestuurders lijken echter nog onvoldoende zicht te hebben op hun eigen aansprakelijkheid ten aanzien van de verplichte cybersecurity. Zo kopte ook het FD begin deze maand. Maar wat houdt deze rol voor bestuurders precies in en wat staat er op het spel voor deze bestuurders? In deze blog staat de bestuurdersaansprakelijkheid in het licht van de NIS2-richtlijn centraal. Wij zullen daarbij een aantal praktische tips geven om bestuurdersaansprakelijkheid te voorkomen.

#tech
#cybersecurity

Datum:  08 mei 2024

Gewijzigd  14 mei 2024

Geschreven door:  Daniek Regterschot en Bram Goudkamp

Leestijd:  +/- 4 minuten

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is Europese wetgeving die tot doel heeft om de cybersecurity binnen de Europese Unie te versterken. Deze richtlijn, een update en uitbreiding van de oorspronkelijke NIS-richtlijn, heeft het doel om een hoog en consistent niveau van netwerk- en informatiesysteembeveiliging te waarborgen. De verplichtingen uit de richtlijn gelden in beginsel enkel ten aanzien van (middel)grote organisaties binnen specifieke sectoren, zoals de productie, verwerking en distributie van levensmiddelen, de vervaardiging onder andere van medische hulpmiddelen, elektrische apparatuur en transportmiddelen, maar ook ondernemingen die digitale diensten aanbieden. Met deze tool kunt u beoordelen of uw bedrijf een belangrijke of essentiële entiteit is, en dus onder de werkingssfeer van de NIS2-richtlijn valt.

Vier soorten verplichtingen

De verplichtingen uit de NIS2-richtlijn vallen uiteen in vier verschillende soorten verplichtingen. Ten eerste de registratieplicht voor alle entiteiten die onder de richtlijn vallen. Deze registratie moet ervoor zorgen dat er op Europees niveau een beeld is van het aantal entiteiten dat onder de NIS2-richtlijn valt. Daarnaast geldt er een meldplicht op basis waarvan organisaties binnen 24 uur een incident dienen te melden bij de toezichthouder (en eventueel ook het Computer Security Incident Response Team (CSIRT)). Daarnaast geldt er een zorgplicht op grond waarvan organisaties verplicht zijn zelf een risicobeoordeling uit te voeren naar aanleiding waarvan zij zelf passende maatregelen dienen te nemen om hun systemen te kunnen beschermen. Tot slot komen organisaties die onder de reikwijdte van de richtlijn vallen ook onder toezicht te staan. Voor essentiële entiteiten geldt dat toezicht zowel voor- als achteraf plaatsvindt, terwijl bij belangrijke entiteiten enkel toezicht achteraf plaatsvindt.

Bestuurdersaansprakelijkheid onder de NIS2-richtlijn

Indien een organisatie geen of onvoldoende maatregelen treft voor het beheer van cyberrisico’s of indien incidenten niet worden gemeld, kan de toezichthouder een boete opleggen. Maar de NIS2-richtlijn kan voor een bestuurder meer verstrekkende gevolgen hebben. Handelen in strijd met de NIS2-richtlijn kan namelijk leiden tot bestuurdersaansprakelijkheid.

Onbehoorlijk bestuur en ernstig verwijt

In beginsel geldt dat een bestuurder van een vennootschap niet zomaar aansprakelijk kan worden gehouden voor het niet-naleven van verplichtingen die rusten op de vennootschap. Dat is anders als een bestuurder zijn taak onbehoorlijk heeft vervuld én hem een (persoonlijk) ernstig verwijt kan worden gemaakt. Daarvan is niet zomaar sprake; er geldt een hoge drempel voor aansprakelijkheid van een bestuurder. Dat is niet zonder reden. Ondernemen brengt risico’s met zich mee en voorkomen moet worden dat bestuurders zich door defensieve overwegingen laten leiden. In dat licht is het opvallend dat de NIS2-richtlijn een bepaling bevat die de lidstaten specifiek verplicht om ervoor te zorgen dat de bestuurders aansprakelijk kunnen worden gesteld.

Aansprakelijkheid voor niet-naleven richtlijn

Op grond van de richtlijn dient iedere bestuurder bevoegd te zijn om beslissingen te nemen ten aanzien van cybersecurity. Daarnaast moeten bestuurders de vennootschap kunnen controleren én dienen bestuurders ervoor te zorgen dat de verplichtingen uit de richtlijn worden nagekomen. De keerzijde van al deze bevoegdheden is dat bestuurders aansprakelijk kunnen zijn voor schade die ontstaat door het niet-naleven van de verplichtingen uit de richtlijn. Zo geldt bijvoorbeeld dat op grond van de NIS2-richtlijn er maatregelen getroffen dienen te worden voor de behandeling van incidenten. Als dergelijke maatregelen uitblijven, de productie vervolgens stil komt te liggen en een afnemer hierdoor schade lijdt, dan zou het mogelijk kunnen zijn dat de bestuurder hiervoor aansprakelijk gehouden kan worden.

4 tips om aansprakelijkheid te voorkomen

Om te voorkomen dat je als bestuurder aansprakelijk wordt gesteld, dien je ervoor te zorgen dat aan alle verplichtingen van de NIS2-richtlijn wordt voldaan. Ondanks dat de richtlijn op dit moment nog niet van kracht is, is het wél verstandig om nu alvast voorbereidingen te treffen voor de komst van de nieuwe wetgeving. We raden aan om nu al de volgende stappen te nemen:

  1. Inventariseer de werking van de NIS2-richtlijn voor jouw onderneming

Ondanks dat het altijd belangrijk is om de cybersecurity goed op orde te hebben, gelden voor NIS2-ondernemingen minimum vereisten. Belangrijk dus om te beoordelen of jouw onderneming onder de reikwijdte van de richtlijn valt.

  1. Voorzie in een duidelijk cyberbeleid

Op grond van de NIS2-richtlijn dienen er zowel preventieve als reactieve maatregelen getroffen te worden. Om een geschikt beleid te kunnen opstellen doe je er goed aan om jouw onderneming te (laten) analyseren en controleren zodat het beleid specifiek voor jouw onderneming kan worden opgesteld.

  1. Volg een cursus of opleiding

Het grootste deel van de bestuurders zal vermoedelijk niet de vereiste kennis van cybersecurity en cyberincidenten op zak hebben. Desondanks zijn het wel de bestuurders die een risico lopen op persoonlijke aansprakelijkheid. Zij moeten immers voldoende kennis en vaardigheden hebben om risico’s te identificeren en daar opvolging aan te kunnen geven. Om hier goed over te kunnen oordelen, dient een bestuurder een opleiding te volgen over cyberveiligheid.

  1. Bespreek cybersecurity in de gehele organisatie

Een groot deel van de cyberincidenten ontstaan door aanvallen van buitenaf. Desondanks kan de oorzaak van een incident ook binnen de organisatie zelf liggen. Zorg er dus voor dat alle medewerkers op de hoogte zijn van de risico’s en het te volgen beleid indien er een incident heeft plaatsgevonden.

Conclusie

Met de komst van de NIS2-richtlijn openbaart zich een risico voor bestuurders. Zij dienen voldoende kennis en kunde te hebben om cyberincidenten te voorkomen, maar ook om de gevolgen van een incident te beperken. Des te belangrijker om goed voorbereid de NIS2-richtlijn tegemoet te gaan. 


Blijf scherp

Wil je weten wat de NIS2-richtlijn voor jouw onderneming betekent? Neem dan contact op met een van onze gespecialiseerde IT-advocaten. Zij helpen je graag verder!

Contact

Meer over dit onderwerp: