Bestuurder aansprakelijk voor cybersecurity
Een nieuwe Europese richtlijn stelt hogere eisen aan de digitale veiligheid in organisaties. Meer organisaties moeten aan de nieuwe regels voldoen en de bestuurder wordt persoonlijk aansprakelijk voor de cybersecurity in de organisatie. De ondernemingsraad (OR) kan bijdragen aan passend beleid.
Cybercriminaliteit is een van de grootste bedrijfsrisico’s (artikel). Naar schatting is slechts 60% van de grotere en 30% van de kleinere organisaties zich hiervan bewust. Een cyberaanval kan de organisatie platleggen en zelfs de maatschappij ontwrichten. Organisaties moeten daarom doeltreffende maatregelen treffen om cyberrisico’s tegen te gaan. De Europese Network and Information Security Directive (NIS2), die later dit jaar van kracht wordt, is een stevige stok achter de deur. De ondernemingsraad doet er goed aan om met de bestuurder in gesprek te gaan over de nieuwe regels voor het cyberbeleid.
Kleinere organisatie kan indirect met richtlijn te maken krijgen
De NIS2-richtlijn gaat gelden voor organisaties met minimaal 50 werknemers en een jaaromzet van minimaal € 10 miljoen in alle sectoren die van vitaal belang zijn voor de maatschappij, zoals gezondheidszorg en transport. De richtlijn is weliswaar niet van toepassing op kleinere organisaties, maar zij kunnen er indirect wel mee te maken krijgen. Grote organisaties moeten namelijk ook de cybersecurity van hun toeleveranciers waarborgen, dus zij zullen aan hun ketenpartners hogere eisen gaan stellen.
Nieuwe wet stelt bestuurder persoonlijk aansprakelijk
Opvallend is dat de nieuwe richtlijn bestuurders nadrukkelijk verantwoordelijk stelt voor het cyberbeleid in hun organisatie. De bestuurder moet zorgen voor passend cyberbeleid en toezien op een goede uitvoering ervan. Als het cyberbeleid niet in orde is, kunnen er sancties volgen. In eerste instantie gaat het om een waarschuwing of een boete die kan oplopen tot 2% van de jaaromzet. Als er geen verbetering komt, zal de bestuurder persoonlijk worden aangesproken op zijn nalatigheid. Hij kan dan (tijdelijk) uit zijn functie worden gezet.
OR kan bestuurder adviseren over passende maatregelen
De OR kan de bestuurder adviseren over passende maatregelen om de digitale veiligheid in de organisatie op orde te brengen. Denk hierbij niet alleen aan technische veiligheidsmaatregelen of het laten uitvoeren van een risicoanalyse, maar ook aan scholing van werknemers en het creëren van bewustzijn over cyberrisico’s onder werknemers (stappenplan). Cybersecurity is tenslotte niet alleen een onderwerp voor de IT-afdeling, maar staat of valt met het handelen van alle werknemers.
Anticiperen op nieuwe regels
De Europese NIS2-richtlijn treedt per oktober 2024 in werking. Alle EU-lidstaten moeten de richtlijn doorvoeren in hun nationale wetgeving. Naar verwachting gaan de regels in Nederland in 2025 in. Organisaties doen er verstandig aan om zich nu al voor te bereiden. Het realiseren van effectief cyberbeleid (toolbox) en creëren van bewustzijn kost nu eenmaal tijd.