Bestuurdersaanprakelijkheid en NIS2. Wat moet je weten?

Digitalisering biedt organisaties ongekende mogelijkheden, maar brengt ook meer cyberdreigingen met zich mee. Om deze bedreigingen te verminderen, heeft de Europese Unie de NIS2-richtlijn geïntroduceerd. Deze stelt niet alleen strengere eisen aan cybersecurity, maar legt ook de verantwoordelijkheid expliciet bij de bestuurders van organisaties.

Wat is bestuurdersaansprakelijkheid onder NIS2?

Hoewel het bestuur altijd verantwoordelijkheden heeft op het gebied van cybersecurity, breidt de NIS2-richtlijn deze verder uit. Bestuurders zijn nu verplicht om:

• • • Toezicht te houden: Bestuursleden dienen toezicht te houden op de implementatie van cybersecuritymaatregelen binnen de organisatie.

• Naleving te waarborgen: Uit de NIS2-richtlijn volgen verplichtingen. Bestuurders moeten ervoor zorgen dat de organisatie aan deze verplichtingen voldoet.

• Besluitvorming te ondersteunen: Het bestuur is verantwoordelijk voor beslissingen met betrekking tot cybersecurity. Welke keuzes worden gemaakt? En waarom?

De gedachte dat het ‘Security & Privacy’-team van een organisatie deze taken volledig uitvoert, mag niet spelen. Het niet naleven van deze verplichtingen kan namelijk leiden tot persoonlijke aansprakelijkheid voor bestuurders. Ontstaat er schade door inadequate cybersecuritymaatregelen? Dan zijn zij verantwoordelijk.

Risico’s voor bestuurders

Stel, er zijn geen maatregelen genomen en er vindt een cybersecurityincident plaats dat bijvoorbeeld leidt tot een datalek. Afnemers kunnen dan schade lijden, waarvoor bestuurders aansprakelijk worden gesteld.

Ook kunnen toezichthouders boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten en 7 miljoen euro of 1,4% voor belangrijke entiteiten.

Verplichtingen van bestuurders

Om aan de NIS2-richtlijn te voldoen, dienen bestuurders de volgende stappen te ondernemen:

1. Risicobeoordeling: Bestuurders moeten cyberbeveiligingsrisico’s identificeren en evalueren.

2. Beveiligingsbeleid: Het bestuur moet een duidelijk cybersecuritybeleid opstellen met zowel preventieve als reactieve maatregelen.

3. Opleiding en bewustwording: Bestuurders zijn verplicht om trainingen te volgen en voldoende kennis en vaardigheden te ontwikkelen om risico’s te identificeren en te beoordelen. Ook moeten zij ervoor zorgen dat het personeel deze trainingen krijgt om awareness te creëren op de werkvloer.

4. Samenwerking: Bestuurders moeten samenwerken met IT-teams en externe experts om de implementatie van cybersecuritymaatregelen te waarborgen.

Conclusie

De NIS2-richtlijn is belangrijk voor cybersecurity en legt een directe verantwoordelijkheid bij bestuurders. Zij moeten proactief handelen, niet alleen om wettelijke naleving te waarborgen, maar ook om de continuïteit van hun organisatie te beschermen.

Als softwarebedrijf begrijpen wij de uitdagingen die de NIS2-richtlijn met zich meebrengt. Onze softwareoplossingen worden ontworpen met de hoogste cybersecuritystandaarden, zodat jouw organisatie voldoet aan de NIS2-vereisten. Neem contact met ons op om hier meer over te weten.

Bronnen

• https://www.nctv.nl/documenten/brochures/2024/06/19/informatiebrochure-nis2-richtlijn

• https://www.poelmannvandenbroek.nl/actuele-zaken/voorbij-de-firewall-bestuurdersaansprakelijkheid-onder-de-nis2-richtlijn

• https://www.juridict.nl/juridict-nieuwsartikel/nis2-richtlijn-wat-is-het-en-voor-wie-wordt-het-van-toepassing