NIS2 en de bestuurlijke verantwoordelijkheid

De NIS2-richtlijn markeert een keerpunt in de Europese cyberbeveiligingswetgeving. Ze stelt u als bestuurder van een onderneming voor uitdagingen die uw benadering van cyberbeveiligingsrisico’s zullen veranderen, maar vooral aanscherpen. 

Als bestuurder van een onderneming staat u in het huidige digitale tijdperk voor een nieuwe realiteit. Cyberbeveiliging is een integraal onderdeel van uw bestuurlijke verantwoordelijkheden geworden. Hackers zijn zowat de nieuwe terroristen, en daar wil Europa zich verder en beter tegen beschermen, zeker in kritische sectoren.

Welke sectoren komen erbij? 

Met de implementatiedeadline van 17 oktober 2024 in zicht, breidt de NIS2-richtlijn het toepassingsgebied uit naar een breder scala aan sectoren dan haar voorganger, NIS1. Nieuw toegevoegde sectoren zijn onder andere afvalstoffenbeheer, energie, vervoer, bankwezen, gezondheidszorg en leveranciers van digitale diensten. 

Waar ligt de nadruk op?

Als bestuurder bent u verantwoordelijk om een beleid uit te schrijven voor de risicoanalyse en beveiliging van uw informaticasystemen. U moet dus in kaart brengen wat er allemaal van systemen aanwezig is, en waar de mogelijke risico’s zich kunnen bevinden. Daarnaast is het minstens even belangrijk na te denken over de bedrijfscontinuïteit. Hoe kan uw bedrijf verder na een intrusie?

Waar situeren de risico’s zich?

De risico’s waarvoor u als bestuurder mee de verantwoordelijkheid draagt, zijn aanzienlijk en kunnen complex zijn. Enkele voorbeelden:

• Inbreuken op gegevens: Stel dat uw organisatie te maken krijgt met een datalek waarbij klantengegevens worden blootgesteld. Dan kan u als bestuurder aangesproken worden voor de schade die dat mogelijk met zich meebrengt, als kan aangetoond worden dat u niet de nodige maatregelen nam om dat risico in te perken. 
• Aanvallen op de toeleveringsketen: Is uw bedrijf afhankelijk van een toeleveringsketen, dan kan een cyberaanval op een van uw leveranciers leiden tot ernstige verstoringen in uw eigen bedrijfsvoering. NIS2 vereist dat u maatregelen neemt om de beveiliging van uw toeleveringsketen te waarborgen. Dat houdt meteen in dat ook bedrijven of instellingen die nog niet onder de verplichting van NIS2 vallen, hun cyberveiligheid onder controle moeten hebben. U mag nog zo veilig mogelijk werken, als uw toeleverancier niet hetzelfde beveiligingsniveau nastreeft, blijft u ­risico’s ­lopen. 
• Non-compliance boetes: Niet voldoen aan de NIS2-richtlijn kan resulteren in aanzienlijke boetes. Als bestuurder moet u ervoor zorgen dat uw organisatie voldoet aan de nieuwe regelgeving om financiële sancties te ­voorkomen.

Wat is uw rol als bestuurder en hoe kan u zichzelf beschermen?

NIS2 legt de nadruk op de actieve betrokkenheid van bestuurders bij het beheer van cyberbeveiligingsmaatregelen. U wordt verantwoordelijk geacht voor het goedkeuren en toezicht houden op de uitvoering van het beleid rond risicoanalyse, incidentenbehandeling, bedrijfscontinuïteit en de beveiliging van de toeleveringsketen. Die verhoogde verantwoordelijkheid brengt significante implicaties met zich mee. U kunt als bestuurder persoonlijk aansprakelijk worden gesteld voor eventuele inbreuken. In eerste instantie is het natuurlijk van essentieel belang uw bedrijf te beschermen. Bescherming ligt altijd aan de basis, onder het mom van beter voorkomen dan genezen. Daarom is de NIS2-richtlijn naleven en alles naar goed vermogen (laten) uitvoeren om uw bedrijf sterker te beveiligen een absolute top­prioriteit. Moet er toch nog ‘genezen worden’, met andere woorden blijkt er toch een intrusie te zijn en kan die gelinkt worden aan een nalatigheid of fout als bestuurder, dan speelt uw bestuurdersaansprakelijkheidsverzekering (Directors & ­Officers verzekering) een belangrijke rol. Ze beschermt u tegen de financiële gevolgen van claims die kunnen voortvloeien uit uw beslissingen en handelingen als bestuurder. Een ander belangrijk onderdeel van die verzekering is de dekking voor ­verdedigingskosten.

Wenst u meer informatie over dit thema of wilt u graag even overleggen met een van de adviseurs van Group Casier? Neem dan contact op met Sara Adam, Corporate Consultant bij Group Casier, s.adam@casier.be.   

NIS en NIS2
NIS staat voor Network & Information Systems. In het Nederlands gebruiken we de term Netwerk- en Informatiesystemen of Netwerk- en Informatiebeveiliging (NIB). De Europese NIS-richtlijn biedt een kader voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. In 2016 werd de eerste NIS-richtlijn gepubliceerd. De tweede wordt vanaf 17 oktober 2024 nationale wetgeving in België en verplicht een grotere groep van ondernemingen om zich beter te beveiligen tegen cyberaanvallen.