In 2025 zullen Europese regels van kracht worden die bedrijfsleiders expliciet verantwoordelijk stellen voor het cyberbeleid van hun organisaties. Deze nieuwe regels, bekend als NIS2, houden in dat bestuurders persoonlijk aansprakelijk kunnen worden als ze nalatig zijn in hun cyberbeveiligingsplichten, met mogelijke gevolgen zoals boetes en zelfs schorsing.
De Cyber Security Raad (CSR), een adviserend orgaan voor de Nederlandse overheid, waarschuwt dat veel bedrijven zich nog niet bewust zijn van deze aankomende veranderingen. Voorheen was het gebruikelijk dat bestuurders het cyberbeleid overlieten aan IT-afdelingen, terwijl ze zich beperkten tot het goedkeuren van budgetten. Echter, met de nieuwe regels moeten zij actief betrokken zijn bij het goedkeuren van maatregelen tegen cyberrisico’s en toezicht houden op de implementatie ervan.
De raad benadrukt de revolutionaire aard van deze regels omdat ze bestuurders direct aanspreken op hun verantwoordelijkheden. Bij nalatigheid kunnen bedrijven eerst waarschuwingen en boetes verwachten, die kunnen oplopen tot 2% van de jaaromzet. Indien er geen verbetering optreedt, kunnen bestuurders persoonlijk de gevolgen ondervinden.
Het is ook cruciaal dat bedrijven verantwoordelijkheid nemen voor de cyberveiligheid van hun toeleveranciers. Met de digitale verbondenheid van bedrijven kan een beveiligingslek bij een kleine leverancier grote gevolgen hebben voor de hele keten. Dit betekent dat grote bedrijven niet alleen hun eigen cyberveiligheid moeten waarborgen, maar ook die van hun leveranciers moeten ondersteunen.
Om voorbereid te zijn op de nieuwe regelgeving, moeten bedrijven beginnen met het opleiden van hun medewerkers en het uitvoeren van risicoanalyses. Bedrijven die dit niet doen, lopen een groter risico op cyberaanvallen en kunnen als nalatig worden beschouwd.
Daarnaast moeten bedrijven zelf onderzoeken of ze onder de nieuwe verplichtingen vallen, aangezien de overheid dit niet automatisch meldt. Dit vraagt om een proactieve houding van bedrijven om hun compliance te verzekeren. Met deze nieuwe regelgeving wordt duidelijk dat cybersecurity niet alleen een IT-probleem is, maar een essentieel onderdeel van de bedrijfscontinuïteit.
Wil je meer weten over de aansprakelijkheid rondom IT- en cybervraagstukken?
Praat er dan eens over met Rob Beks van Beks Advocaten. info@beksadvocaten.nl