Vanaf 2025 worden bestuurders van bedrijven persoonlijk verantwoordelijk gesteld voor het cybersecuritybeleid van hun organisaties. Deze verandering komt voort uit de nieuwe Europese NIS2-regelgeving, die van toepassing zal zijn op ruim tienduizend bedrijven. De Cyber Security Raad (CSR) waarschuwt dat veel bestuurders nog niet op de hoogte zijn van deze aankomende veranderingen.
Verantwoordelijkheid en boetes
Volgens de CSR moeten bestuurders de maatregelen om cyberrisico’s te beheren goedkeuren en toezien op de uitvoering ervan. Daarnaast moeten ze bijdragen aan de cyberveiligheid bij hun directe toeleveranciers. Als een bedrijf tekortschiet in zijn cybersecuritybeleid, kunnen er waarschuwingen en boetes volgen. Deze boetes kunnen oplopen tot twee procent van de jaaromzet. Indien de situatie niet verbetert, kunnen bestuurders persoonlijk aansprakelijk worden gesteld en zelfs tijdelijk uit hun functie worden gezet. Deze persoonlijke aansprakelijkheid geldt ook voor commissarissen.
Huidige en toekomstige regelgeving
Ongeveer duizend essentiële bedrijven, zoals energie- en telecombedrijven, vallen momenteel al onder een deel van deze regels en hebben een meldplicht bij cyberincidenten. De NIS2-richtlijn zal echter van toepassing zijn op ongeveer tienduizend bedrijven. Advocaat en hoogleraar Lokke Moerel van de CSR stelt dat veel bedrijven geen idee hebben dat ze straks onder toezicht staan. De nieuwe regels zijn volgens haar het gevolg van jarenlange laksheid op het gebied van cybersecurity.
Criteria voor NIS2
De NIS2-regelgeving geldt voor bedrijven die actief zijn in aangewezen sectoren, meer dan tien miljoen euro omzet hebben en minimaal vijftig medewerkers in dienst hebben. Deze bedrijven moeten zelf onderzoeken of ze onder de NIS2-regelgeving vallen, aan de hand van een online vragenlijst ontwikkeld in samenwerking met de Rijksinspectie Digitale Infrastructuur (RDI).
Voorstanders van de regelgeving
Werkgeversorganisatie VNO-NCW organiseert informatiesessies om zoveel mogelijk bedrijven te informeren. De organisatie merkt echter dat de bestuurdersaansprakelijkheid en de verantwoordelijkheid voor de veiligheid bij toeleveranciers bij veel bedrijven onbekend is. VNO-NCW hoopt dat de nieuwe regels bedrijven zullen aansporen om cybersecurity serieus te nemen. Ze pleiten ervoor dat toezichthouders in eerste instantie de dialoog aangaan in plaats van direct boetes uit te delen.
Het belang van cybersecurity
Ellen Mok, expert cybersecurity bij KPMG, benadrukt dat de verantwoordelijkheid voor cybersecurity serieus genomen moet worden, vooral met toenemende cyberdreigingen. “Dit is een essentieel onderdeel van het risicomanagement en de bedrijfsstrategie. Cybersecurity moet als prioriteit behandeld worden en bestuurders moeten over voldoende kennis op dit gebied beschikken.”
Simone Pelkmans, partner Risk Advisory en hoofd van het Digital Regulations Team bij Deloitte, voegt toe dat grotere vitale organisaties hun cybersecurity en cyberweerbaarheid al hebben ingericht en grotendeels compliant zijn. Echter, voor de naar schatting tienduizend organisaties waarvoor NIS2 nieuw is, ligt er veel werk in het verschiet. “Cybersecurity behoort tot de top drie risico’s van de meeste bedrijven en organisaties. Door middel van Europese regelgeving wordt een hoger niveau van cybersecurity en een gelijk speelveld gecreëerd.”
Conclusie
De nieuwe NIS2-regelgeving stelt bestuurders vanaf 2025 persoonlijk aansprakelijk voor het cybersecuritybeleid van hun organisaties. Deze verandering benadrukt de urgentie voor bedrijven om hun cybersecurity serieus te nemen en adequaat te beheren. Met toenemende cyberdreigingen is het essentieel dat organisaties, bestuurders en commissarissen zich bewust zijn van de risico’s en de nodige maatregelen treffen om hun digitale veiligheid te waarborgen.
Lees ook: Cyberaanval door Chinese spionnen: Politici Els Van Hoof en Samuel Cogolati getroffen
NCTV: ‘Valt uw organisatie onder de CER en NIS2-richtlijnen?’