Na de implementatie van de nieuwe Europese richtlijnen (NIS2) zijn bestuurders daadwerkelijk aansprakelijk voor het cyberbeleid van hun organisatie. Zo wordt er bijvoorbeeld geacht dat ze maatregelen treffen om cyberrisio’s tegen te gaan en actief toezien op de naleving hiervan. Bovendien wordt er van hen verwacht dat zij actief bijdragen aan het waarborgen van de cyberveiligheid bij hun leveranciers. In geval van nalatigheid kunnen zij zelfs persoonlijk aansprakelijk worden gesteld. Echter is nog niet iedereen zich hiervan bewust.
Cyberveiligheid gaat verder dan IT
Volgens de Cyber Security Raad (CSR), die de overheid adviseert over digitale veiligheid, blijft de rol van bestuurders vaak beperkt tot het goedkeuren van het gevraagde budget en wordt het te voeren cybersecuritybeleid vooralsnog over gelaten aan de IT-afdeling. De NIS2 moet hier verandering in gaan brengen.
“Ook bij CCRC merken we dat cybersecurity door veel organisaties wordt gezien als een verantwoordelijkheid van IT, terwijl dat slechts een component is van cyberweerbaarheid. “ – Kelvin Rorive
Cybersecurity vormt een bedreiging voor de bedrijfscontinuïteit en is daarom net zo cruciaal als een goed personeelsbeleid en solide financiën. De risico’s op cyberincidenten zijn volgens de CSR namelijk nog nooit zo groot geweest. Onderzoek van cybersecuritybedrijf Cisco toont daarnaast aan dat slechts 3% van alle bedrijven voorbereid is op actuele cyberdreigingen. Bovendien zijn we in deze onderling verbonden digitale wereld sterk afhankelijk van elkaar. Een gebrekkige beveiliging bij een kleine leverancier kan grote gevolgen hebben voor de hele keten. Een voorbeeld hiervan is de cyberaanval op logistiek dienstverlener DP World in Australië, waardoor grote havens werden stilgelegd en maar liefst 30.000 containers niet konden worden verwerkt.
Ben jij als bestuurder straks aansprakelijk?
De nieuwe Europese regelgeving is van toepassing op alle bedrijven in specifieke sectoren met ten minste vijftig medewerkers en een minimale omzet van 10 miljoen euro. Je kunt als bestuurder echter geen telefoontje verwachten van de overheid. Je dient zelf te onderzoeken of jouw onderneming na invoering van de wetgeving nieuwe verplichtingen krijgt en of je hier als bestuurder uiteindelijk ook aansprakelijk voor kan worden gesteld.
Voldoen aan de NIS2 zorgplicht? Organiseer een Cyber Crisis Response!
Bij CCRC ondersteunen we organisaties onder andere bij het uitvoeren van cyberoefeningen binnen hun keten, wat een essentieel aspect is van de zorgplicht die wordt geïntroduceerd door de NIS2.
Ben jij benieuwd naar de mogelijkheden voor jouw organisatie? Neem geheel vrijblijvend contact met ons op via contact@ccrc.nl of op 070 41 90 309 en ontdek hoe wij jouw organisatie kunnen helpen om te voldoen aan deze nieuwe richtlijnen.
(Bron: CEO heeft eigen aansprakelijkheid cybersecurity niet op het netvlies (fd.nl))