Bestuurdersaansprakelijkheid in Cybersecurity

In 2025 treedt in Nederland de nieuwe Network and Information Security (NIS2) richtlijn in werking. Deze richtlijn, een opvolger van de bestaande NIS-richtlijn, is door de Europese Unie (EU) ontwikkeld om de cyberbeveiliging binnen alle lidstaten substantieel te versterken. De kwetsbaarheid van IT-systemen wordt als een groot risico voor het bedrijfsleven gezien. De invoering van NIS2 brengt voor alle ondernemingen en organisaties, zowel groot als klein, belangrijke nieuwe verplichtingen met zich mee. NIS2 stelt strengere eisen die essentieel zijn om te kennen. Zo brengt de richtlijn ook een aanzienlijke verantwoordelijkheid met zich mee voor bestuurders: zij kunnen persoonlijk aansprakelijk gesteld worden wanneer de NIS2-richtlijnen niet worden nageleefd.

Wat houdt de NIS2-richltijn in?

De NIS2-richtlijn, die de reikwijdte van de oorspronkelijke NIS-richtlijn aanzienlijk uitbreidt, omvat nu meer sectoren en stelt strengere beveiligingsnormen en meldingsvereisten voor cyberincidenten.

De richtlijn introduceert specifieke verplichtingen, waaronder risicobeoordelingen, het implementeren van adequate beveiligingsmaatregelen en de verplichting om incidenten binnen 24 uur te melden. Hieronder volgt een korte uiteenzetting van de specifieke verplichtingen onder NIS2:

1. Zorgplicht en risicobeheer: Bedrijven zijn verplicht om een grondige risicobeoordeling uit te voeren en op basis daarvan de noodzakelijke beveiligingsmaatregelen te implementeren. Dit omvat een breed spectrum aan maatregelen, van fysieke beveiliging tot procedures voor incidentenbehandeling en het waarborgen van bedrijfscontinuïteit.
2. Meldplicht: Er geldt een strikte meldplicht voor incidenten die de verlening van essentiële diensten significant kunnen verstoren. Deze incidenten moeten binnen 24 uur na ontdekking gemeld worden aan de relevante toezichthouder.
3. Toezicht: Er is een uitgebreid toezichtregime opgezet waarbij onafhankelijke toezichthouders controleren of de beveiligings- en meldingsvereisten worden nageleefd.

Toepassingsbereik

De NIS2-richtlijn moet uiterlijk 17 oktober 2024 geïmplementeerd zijn in de Nederlandse wetgeving. Om deze reden is het wetsvoorstel voor de Cyberbeveiligingswet momenteel ter internetconsultatie gelegd. Tot 1 juli is het mogelijk om op het wetsvoorstel te reageren.

Verder is in de bijlagen I en II bij de NIS2-richtlijn invulling gegeven aan het toepassingsbereik. In de bijlagen worden de sectoren waarop de verplichtingen van de richtlijn van toepassing zijn nader gespecificeerd. Er zijn elf zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart. Daarnaast zijn er ook zeven andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, de chemische industrie, de levensmiddelen industrie, de maakindustrie, digitale aanbieders en onderzoek. 

Bedrijven en organisaties die onder de richtlijn vallen worden geacht vanaf 17 oktober 2024 te voldoen aan de nieuwe verplichtingen en vereisten.

Bestuurdersaansprakelijkheid: een verhoogd risico

Een belangrijk onderdeel van NIS2 is het risico op aansprakelijkheid voor bestuurders. Als bestuurder bent u direct verantwoordelijk voor het naleven van de richtlijn, en het niet voldoen aan deze eisen kan leiden tot persoonlijke, bestuurlijke of juridische gevolgen.

Ons huidige rechtssysteem biedt verschillende grondslagen voor het aansprakelijk stellen van een bestuurder. Grofweg zijn dat de volgende:

• Interne aansprakelijkheid: Bestuurders kunnen jegens de rechtspersoon aansprakelijk worden gesteld voor schade als gevolg van ernstig verwijtbaar onbehoorlijk bestuur (Artikel 2:9 BW).
• Externe aansprakelijkheid:
  • Faillissement: Persoonlijke aansprakelijkheid van bestuurders voor het boedeltekort indien hun onbehoorlijk bestuur een belangrijke oorzaak van het faillissement is (Artikel 2:138/248 BW).
  • Onrechtmatige daad: Aansprakelijkheid van bestuurders jegens derden voor schade veroorzaakt door handelen of nalaten dat als onrechtmatig wordt beschouwd (Artikel 6:162 BW).

Daarnaast zijn er specifieke vormen van aansprakelijk genoemd in de wet.

Het is van cruciaal belang te begrijpen dat de aansprakelijkheid van een bestuurder onder de NIS2-richtlijn niet voortvloeit uit acties, maar juist uit het nalaten van acties die de richtlijn vereist. Dit vormt in zekere mate een afwijking met de vormen van bestuurdersaansprakelijkheid die eerder in deze paragraaf zijn besproken.

Bestuurders die nalaten een risicobeoordeling uit te voeren of noodzakelijke beveiligingsmaatregelen te implementeren, kunnen aansprakelijk gesteld worden voor de schade die hierdoor ontstaat. Een essentiële verplichting uit de richtlijn is het treffen van maatregelen voor het behandelen van incidenten. In de situatie dat een bestuurder heeft nagelaten dergelijke maatregelen te realiseren en er vervolgens een incident optreedt dat leidt tot productiestilstand, kan dit leiden tot schade voor een afnemer. In zo’n geval kan de bestuurder aansprakelijk worden gesteld voor de geleden schade door de afnemer.

Bestuurders moeten zich dus goed bewust zijn van deze verantwoordelijkheden om te zorgen voor naleving van de richtlijn en om het risico op persoonlijke aansprakelijkheid te verminderen.

Voorbereiding op NIS2

Voor een effectieve voorbereiding op de NIS2-richtlijn, is het cruciaal om:

• Uw huidige beveiligingspraktijken te evalueren;
• De specifieke eisen van de NIS2-richtlijn te begrijpen en hoe deze van toepassing zijn op uw onderneming;
• Een plan te ontwikkelen voor het implementeren van de vereiste beveiligingsmaatregelen;
• Training en bewustwording te bevorderen onder uw personeel over de nieuwe vereisten.

Neem Actie

Onderneem nu actie om te zorgen dat uw onderneming klaar is voor deze belangrijke veranderingen. Voor meer informatie over deze richtlijn, of als u ondersteuning nodig heeft bij het aanpassen van uw bedrijfsvoering aan de nieuwe vereisten, nodigen wij u uit om contact op te nemen. Ons Team Data & Privacy staat klaar om te adviseren over de implementatie van deze wetgeving, terwijl ons Team Ondernemingsrecht u kan bijstaan in zaken betreffende bestuurdersaansprakelijkheid. Samen kunnen we een strategie ontwikkelen die zowel compliant als effectief is.

Voor informatie over het implementeren van de NIS2-richtlijn op gemeentelijk niveau nodigen wij u uit om onze eerder gepubliceerde blog vanuit Team Data & Privacy te raadplegen: NIS2-richtlijn: cyberbeveiligingsregels gemeenten – La Gro.

Contact

Heeft u vragen over dit onderwerp of wilt u van gedachten wisselen? Neem dan contact op met  https://www.lagro.com/medewerker/pien-kets/ of een van onze andere Ondernemingsrecht Specialisten.  https://www.lagro.com/expertises/ondernemingsrecht/