Pas op voor persoonlijke aansprakelijkheid bij cybersecurity

De Cyber Security Raad (CSR) waarschuwt Nederlandse onderneming om bij te benen met de nieuwste technologische ontwikkelingen die een dreiging kunnen opleveren. Het gaat bijvoorbeeld om artificiële intelligentie (AI) en digitale aanvallen op grote schaal.

NIS2-richtlijn

Het Nationaal cyber Security Centrum (NCSC) noemt als maatschappelijke ontwikkelingen COVID-19 en de oorlog in Oekraïne die hebben gezorgd voor een toenemende vraag voor een verbeterde cybersecurity. Als reactie hierop is er een nieuwe Europese regelgeving gekomen, namelijk de NIS2-richtlijn.

De NIS2 (Network and Information Security directive) heeft als doel het vergroten van de veiligheid van de digitale wereld en het beperken van de gevolgen van cyberaanvallen binnen de Europese Unie. De nieuwe regels zullen per 2025 ingaan.

Belangrijk voor ondernemers

De impact op de Nederlandse ondernemingen groot. Bestuurders zijn door de richtlijn aangewezen op hun verantwoordelijkheden. Het negeren van de richtlijn kan leiden tot ernstige persoonlijke verwijten, wat de persoonlijke aansprakelijkheid kan vergroten. Dit geldt zelfs voor commissarissen. In beginsel ontvangt een nalatig bedrijf een maximale boete van 2% van de jaaromzet. Wanneer er vervolgens geen verbetering in het cybersecurity beleid te zien is, kan dit uitmonden in de persoonlijke aansprakelijkheid voor een bestuurder. De nieuwe regels gaan gelden voor alle bedrijven in specifieke sectoren met ten minste vijftig medewerkers en minimaal €10 mln omzet. Bedrijven moeten zelf onderzoeken of ze onder de richtlijn vallen of niet.

Hanteren van cyber security beleid

Volgens de CSR is de cybersecurity in Nederland van groot belang doordat we een erg gedigitaliseerd land zijn. Om deze risico’s te beheren, is het van belang dat ondernemingen strikte beleidsmaatregelen implementeren en procedures om de veiligheid van hun digitale activa te waarborgen. Het is van belang om bewust te zijn van de laatste bedreigingen en hoe ze deze kunnen herkennen, evenals het gebruik van geavanceerde technologische oplossingen zoals firewalls, antivirussoftware en encryptieprotocollen.

Daarnaast is een proactieve benadering van het monitoren en bijwerken van systemen cruciaal om potentiële kwetsbaarheden te identificeren en aan te pakken voordat ze worden misbruikt.

Ondernemers moeten ook zorgen voor een cultuur van veiligheid op de werkvloer, waarin het belang van het naleven van veiligheidsprotocollen en het melden van verdachte activiteiten wordt benadrukt. Door een gelaagde aanpak te hanteren en voortdurend de cybersecurity strategieën bij te werken, kunnen ondernemers effectief de risico’s minimaliseren en de integriteit van hun bedrijfsactiviteiten behouden.

Conclusie

Het is van belang dat ondernemingen een robuust cyber security beleid hanteren, inclusief strikte beleidsmaatregelen, geavanceerde technologische oplossingen en een proactieve benadering van het monitoren en bijwerken van systemen. De implementatie van de nieuwe Europese NIS2-richtlijn benadrukt het belang van deze maatregelen, met name voor bestuurders, die persoonlijk aansprakelijk kunnen worden gesteld bij nalatigheid.

Vragen?

Heeft u vragen over bestuursaansprakelijkheid, uw cybersecurity beleid of een andere vraag? Contact dan een van onze advocaten via de mail, telefonisch of vul het contactformulier in voor een vrijblijvend eerste gesprek. Wij denken graag met u mee.