Bestuurders zullen binnenkort verantwoordelijk worden gehouden voor het mislukken van het cyberbeveiligingsbeleid

Vanaf 2025 zijn bedrijfsleiders persoonlijk verantwoordelijk voor het cybersecuritybeleid. Veel managers zijn niet op de hoogte van NIS2, de nieuwe Europese regelgeving die binnenkort op ruim tienduizend bedrijven van toepassing zal zijn.

De Cyber ​​Security Raad (CSR) waarschuwt hiervoor in het FD. De CSR, die de regering adviseert over cybersecurity, wijst erop dat veel bedrijven en hun bestuurders nog niet op de hoogte zijn van de komende veranderingen.

“Als gevolg van de nieuwe Europese regels zullen directeuren binnenkort maatregelen moeten goedkeuren om cyberrisico’s te beheersen en de implementatie ervan te monitoren. Ook moeten zij de cyberveiligheid van hun directe leveranciers helpen waarborgen”, aldus de CSR.

Boetes

Als een bedrijf faalt op het gebied van cybersecurity, kan dit leiden tot waarschuwingen en boetes. Deze boetes zijn niet eenvoudig: de boetebedragen bedragen maximaal twee procent van de jaaromzet. Leidt dit niet tot de gewenste verbetering, dan kunnen bestuurders persoonlijk aansprakelijk worden gesteld en zelfs tijdelijk uit hun functie worden ontheven. Ook voor commissarissen geldt persoonlijke aansprakelijkheid.

Ongeveer duizend ‘essentiële bedrijven’, zoals energie en telecommunicatie, zijn al onderworpen aan een aantal van de regels. Deze bedrijven hebben nu al een meldingsplicht bij cyberincidenten. NIS2 wordt straks toegepast bij zo’n tienduizend bedrijven.

Advocaat en hoogleraar Lokke Moerel van de MVO legt aan het FD uit dat veel bedrijven geen idee hebben dat er binnenkort toezicht op hen wordt uitgeoefend. Volgens Moerel zijn de nieuwe regels het gevolg van jarenlange laksheid op het gebied van cybersecurity. Veel bedrijven zouden nogal laconiek reageren op oproepen van de overheid en experts om de digitale veiligheid te vergroten. Hij vindt het daarom logisch dat wetgevers nu hun toevlucht nemen tot strengere maatregelen.

Criteria

NIS2 geldt straks voor alle bedrijven die actief zijn in de aangewezen sectoren, een omzet hebben van meer dan tien miljoen en minimaal vijftig medewerkers hebben. De overheid zal hen niet actief informeren; Bedrijven zouden dit zelf moeten onderzoeken met behulp van een online vragenlijst, ontwikkeld in samenwerking met de Nationale Inspectie Digitale Infrastructuur (RDI).

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij in bepaalde sectoren actief zijn en op basis van bepaalde criteria als ‘essentiële’ of ‘belangrijke’ entiteit kunnen worden gekarakteriseerd.

“Automatisch betekent dat essentiële en belangrijke entiteiten niet noodzakelijkerwijs worden aangewezen en dat de verplichtingen uit de NIS2-richtlijnen voor deze organisaties direct van toepassing zijn zodra de nationale wetgeving eind 2024 in werking treedt. Dit betekent dat deze organisaties nog een jaar de tijd hebben om zich voor te bereiden. voor de verplichtingen van de komende wetgeving”, aldus de regering.

Supporters

De werkgeversorganisatie VNO-NCW probeert met informatiesessies zoveel mogelijk bedrijven te informeren, maar waarschuwt dat veel organisaties, zelfs die al in de NIS1 zijn opgenomen, zich niet bewust zijn van de verantwoordelijkheid van bestuurders en de verantwoordelijkheid voor de veiligheid van leveranciers.

De werkgeversorganisatie is voorstander van de nieuwe regelgeving, omdat ze hopen dat deze voor veel bedrijven doorslaggevend zal zijn wake-up call neemt cyberveiligheid serieus. VNO-NCW hoopt dat toezichthouders niet meteen boetes gaan opleggen, maar de gelegenheid aangrijpen om de dialoog aan te gaan als een bedrijf zijn zaken niet op orde heeft.

Essentieel

Ellen Mok, cybersecurity-expert bij KPMG, vindt het belangrijk dat deze verantwoordelijkheid serieus wordt genomen in het licht van de toenemende cyberdreigingen. ‘Dit is een essentieel onderdeel van risicomanagement en bedrijfsstrategie. De SER benadrukt dit, maar wat ons betreft is het niets nieuws; dit is de kern van goed bestuur. De boodschap is duidelijk: nu ‘Het is tijd om cybersecurity aan te pakken’ als prioriteit beschouwen en ervoor zorgen dat het bestuur voldoende kennis op dit gebied heeft.”

Volgens Mok beschermt het bestuur niet alleen de organisatie, maar ook de belangen van stakeholders en de samenleving. “Wat ons betreft is de raad van bestuur van elke organisatie verantwoordelijk voor alle aspecten van een toekomstbestendige organisatie, inclusief cybersecurity.”

Cyberweerbare keten

Simone Pelkmans, Risk Advisory-partner en hoofd van het Digital Regulations-team van Deloitte, is van mening dat de grootste vitale organisaties hun cyberbeveiliging en cyberveerkracht al hebben opgebouwd, wat betekent dat ze nu grotendeels compliant zijn. ‘Maar er is werk aan de winkel bij de naar schatting tienduizend organisaties waarvoor NIS2 nieuw is. Gezien cybersecurity tot de top drie van risico’s van de meeste bedrijven en organisaties behoort, is het goed dat Europese regelgeving zorgt voor een hoger niveau van cybersecurity als het erop aankomt. naar een niveau van spelen. Het veld is gecreëerd.”

Ook Pelkmans vindt het positief dat cybersecurity nu een verplicht onderwerp is in het bestuur en dat er ook een taak ligt voor de raad van commissarissen. “Weten wat NIS2 inhoudt en zorgen voor een hoger kennisniveau over cybersecurity en cyberveerkracht is belangrijk – de wereld van technologie en cybersecurity verandert zeer snel en omdat alles digitaal met elkaar verbonden is, is de impact van cyberincidenten vaak enorm.”

Pelkmans benadrukt dat de CISO/CIO een cruciale rol speelt. “Maar het kan niet zo zijn dat de verantwoordelijkheid uitsluitend bij die functie ligt en dat is wat ons betreft een goede stap voorwaarts. Wat betreft de beheersing van cybersecurity in de keten geldt uiteraard pas als de hele keten cybersecurity is.” veerkrachtig kan de vereiste hoge mate van cybersecurity worden gegarandeerd.”