Leestijd: 3 minuten.
De Cyberbeveiligingswet (hierna: Cbw) is in de maak. Dit naar aanleiding van de Europese NIS 2-richtlijn uit 2022. Zoals in een eerder blog is behandeld, is het doel van de NIS2-richtlijn om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging. De wet moet de digitale paraatheid vergroten en de gevolgen van cyberincidenten verkleinen, onder meer met de invoering van bestuurdersaansprakelijkheid.
De richtlijn had al in Nederlandse wetgeving geïmplementeerd moeten zijn, maar Nederland loopt (zoals wel vaker) wat achter. De regering wil de wet nu in het derde kwartaal van 2025 invoeren. Bestuurders van essentiële en belangrijke entiteiten krijgen dan extra verplichtingen en lopen hogere risico’s op bestuurdersaansprakelijkheid.
Europa legt de lat hoog voor bestuurders van essentiële en belangrijke entiteiten. Op grond van artikel 24 Cbw (artikel 20 NIS 2) zullen bestuurders de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op de regelgeving. Bovendien worden bestuurders van essentiële en belangrijke entiteiten verplicht een training te volgen om hun kennis en vaardigheden aan te tonen. In deze blog zullen de verantwoordelijkheden en de bestuurdersaansprakelijkheid besproken worden: voor wie geldt het en wat houdt dit concreet in voor bestuurders?
Wie valt onder de regels?
Deze wetgeving geldt voor bepaalde aangewezen organisaties en essentiële en belangrijke entiteiten. Kort door de bocht is het wetsvoorstel voor de Cbw van belang voor de aanbieders waarvan de dienstverlening van vitaal belang is voor de maatschappij en economie. Het gaat bijvoorbeeld om de netbeheerder van het landelijk hoogspanningsnet, aanbieders van cloudcomputingdiensten en Luchtverkeersleiding Nederland.
De bestuurdersverplichtingen gelden voor de bestuurders van deze entiteiten. De wet is slim opgebouwd: ook als een rechtspersoon bestuurder is, gelden de eisen voor de natuurlijke personen die namens die rechtspersoon optreden. Onder bestuurders vallen ook maten, vennoten en beherende vennoten van de maatschap, vof en CV. De aansprakelijkheid geldt ook voor de bestuurders van overheden, van ministers tot colleges van B&W. Overigens doet de NIS 2 geen afbreuk aan de Nederlandse aansprakelijkheidsregels voor overheidsinstanties en overheidsfunctionarissen.
Voor andere (niet-overheids)organisaties geldt dat het schenden van de zorgplicht door de bestuurder kan leiden tot grotere kans van bestuurdersaansprakelijkheid, nu bestuurders zelf in moeten staan voor het vervullen van de zorgplicht. Volgens vaste civiele rechtspraak zal een bestuurder een ‘ernstig verwijt’ gemaakt moeten worden, maar in de basis zullen de verplichtingen bestuursrechtelijk worden gehandhaafd.
Lees dit blog met meer achtergronden over het vaststellen van bestuurdersaansprakelijkheid.
Wat betekent dit voor bestuurders?
Artikel 24 Cbw maakt één ding glashelder: cybersecurity is niet langer alleen een aangelegenheid voor de IT-afdeling; het is een bestuursverantwoordelijkheid. Hierna volgt een opsomming van een aantal belangrijke verplichtingen voor bestuurders.
Verplichte goedkeuring op bestuursniveau
Alle beveiligingsmaatregelen die voortvloeien uit artikel 21 Cbw moeten expliciet worden goedgekeurd door het bestuur. Artikel 21 Cbw introduceert een zorgplicht en verplicht iedere essentiële en belangrijke entiteit om maatregelen te nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen en incidenten en gevolgen daarvan te voorkomen. Dit betekent dat bestuurders actief moeten toezien op de implementatie van cybersecuritymaatregelen.
Verplichte kennis en vaardigheden
Bestuurders van essentiële en belangrijke entiteiten moeten binnen twee jaar beschikken over aantoonbare kennis en vaardigheden op drie gebieden:
- Het herkennen van risico’s voor netwerk- en informatiesystemen.
- Het beoordelen van risicobeheersmaatregelen op het gebied van cyberbeveiliging.
- Het inschatten van de impact van risico’s en maatregelen op de dienstverlening.
Verder gelden deze eisen niet alleen voor zittende bestuurders, maar ook voor nieuw benoemde leden. Zij krijgen twee jaar vanaf hun benoeming om aan de eisen te voldoen. Cyberdreigingen veranderen voortdurend. Daarom moeten bestuurders hun kennis en vaardigheden aantoonbaar up-to-date houden.
Verplicht bewijs: certificering en training
Om te bewijzen dat bestuurders over de vereiste kennis beschikken, moeten bestuurders een certificaat kunnen overleggen van een erkende training. De overheid kan aanvullende regels stellen over de inhoud, duur en het niveau van deze trainingen.
Conclusie: verhoogd risico op bestuurdersaansprakelijkheid
De boodschap is duidelijk: bestuurders worden verantwoordelijk voor de digitale veiligheid van hun organisatie. Meer zorgplichten voor cyberbeveiliging verhoogt het risico op ernstige verwijten, die dan weer kunnen leiden tot bestuurdersaansprakelijkheid. Bestuurders doen er daarom goed aan om te investeren in kennis en governance op dit vlak serieus te nemen. Heeft u vragen over de NIS 2-richtlijn of de Cyberbeveiligingswet? NORD Advocaten helpt u graag.
