NIS2-richtlijn
De wettelijke verankering van deze verantwoordelijkheid voor bestuurders van bedrijven komt niet helemaal uit de lucht vallen. Zogenaamde aanbieders van essentiële diensten, zoals bijvoorbeeld Schiphol en drinkwaterbedrijven, hadden al te maken met de NIS1-richtlijn (de eerste Network and Information Security directive). Deze richtlijn brengt allerlei verplichtingen met zich mee ten aanzien van de beveiliging van digitale systemen en de omgang met datalekken.
In verband met toegenomen (cyber)dreigingen hebben Europese wetgevers NIS1 vervangen door de NIS2-richtlijn. Deze heeft grotendeels dezelfde strekking als NIS1, maar geldt voor een veel grotere groep organisaties. Momenteel vindt de omzetting naar nationaal recht plaats die ervoor gaat zorgen dat per 2025 bepaalde organisaties aan de verplichtingen uit NIS2 moeten voldoen.
Essentiële en belangrijke entiteiten
Of een organisatie onder NIS2 valt hangt af van de grootte van de organisatie en de sector waarin wordt geopereerd. NIS2 maakt onderscheid tussen zogenaamde ‘’essentiële entiteiten’’ en ‘’belangrijke entiteiten’’.
Essentiële entiteiten zijn organisaties met minimaal 250 werknemers (of een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen) die actief zijn in zeer kritieke sectoren. Zeer kritieke sectoren zijn onder andere de energiesector, de gezondheidszorg en het bankwezen.
Belangrijke entiteiten zijn organisaties die kleiner zijn dan essentiële entiteiten (minimaal 50 werknemers of een jaaromzet en balanstotaal van minimaal €10 miljoen), maar die wel actief zijn in een zeer kritieke of kritieke sector. Onder andere de productie van levensmiddelen, chemische stoffen en apparaten worden aangemerkt als ‘’kritiek’’, waardoor een grote groep MKB-bedrijven zal worden aangemerkt als belangrijke entiteit.
Wil je erachter komen of jouw organisatie als essentiële of belangrijke entiteit kwalificeert? Raadpleeg dan de website van het Nationaal Cyber Security Centrum.
Verplichtingen
De uit NIS2 voortvloeiende verplichtingen zijn aanzienlijk. Zo hebben belangrijke en essentiële entiteiten een zorgplicht die ertoe strekt dat er passende maatregelen moeten worden genomen om systemen en informatie te beschermen. Ten aanzien van de zorgplicht kun je nu al de nodige stappen zetten om aan NIS2 te kunnen voldoen. Raadpleeg ook hiervoor de website en lees wat je zelf kunt doen.
Ook moeten bestuurders zich verplicht laten scholen op het gebied van cybersecurity en worden tal van maatregelen voorgeschreven waarmee cyberdreigingen gemitigeerd of voorkomen kunnen worden.
Daarnaast geldt er een meldplicht voor ‘’significante incidenten’’: gebeurtenissen die de bedrijfsvoering ernstig (kunnen) verstoren, financiële verliezen voor de organisatie of de veroorzaking van aanzienlijke schade die andere personen of entiteiten treft. Deze melding moet worden gedaan bij het meldpunt van het NCSC en de toezichthouder (waarover hieronder meer).
Op voornoemde verplichtingen wordt vanzelfsprekend toezicht gehouden. Welke toezichthouder hiervoor verantwoordelijk is hangt af van de sector waarin de entiteit actief is. Niet alleen door wie, maar ook de manier waarop toezicht wordt gehouden kan verschillen. Bij essentiële entiteiten wordt namelijk proactief toezicht gehouden, terwijl bij belangrijke entiteiten het toezicht achteraf plaatsvindt. Het reactieve toezicht op belangrijke entiteiten zal meestal plaatsvinden naar aanleiding van een significant incident.
Risico’s
De Cyber Security Raad (CSR) heeft gewaarschuwd dat de gevolgen van NIS2 nog onvoldoende bekend zijn bij degenen die met de regels van de richtlijn te maken gaan krijgen. Dit terwijl er stevige consequenties kunnen zijn verbonden aan het niet naleven van de regels. Zo kunnen boetes oplopen tot respectievelijk € 10 miljoen voor essentiële entiteiten en € 7 euro voor belangrijke entiteiten. Als verbetering daarna uitblijft kan tijdelijk een vergunning of certificering worden ingetrokken of een bestuurder op non-actief worden gezet. In de NIS2-richtlijn valt expliciet te lezen dat cybersecurity deel uitmaakt van de governance van een organisatie. Hierdoor ligt zelfs bestuurdersaansprakelijkheid op de loer wanneer een organisatie de hiervoor omschreven zaken niet op orde heeft.
Conclusie
Het is dus belangrijk om uit te zoeken of jouw organisatie met NIS2 te maken krijgt. Mocht dit het geval zijn dan is het verstandig om tijdig maatregelen te nemen en te implementeren waardoor jouw organisatie NIS2 compliant zal worden.
Heb je vragen naar aanleiding van deze blog? Bijvoorbeeld over governance en/of bestuurdersaansprakelijkheid in dit kader? Neem dan contact met ons op. Wij helpen je graag verder.
