Op 23 maart besprak de Tweede Kamer de Cyberbeveiligingswet (“Cbw”), de Nederlandse implementatie van de Network and Information Security Directive (EU 2022/2555; “NIS2-richtlijn”). Streven is nog steeds om de wet dit kwartaal in te voeren. De hack op Odido en de recente hack bij Ajax laten zien dat het beveiligen van je informatievoorziening geen overbodige luxe is, maar noodzakelijk om incidenten te voorkomen. Bij de Odido hack zijn van veel mensen persoonsgegevens op het dark web gepubliceerd. Deze persoonsgegevens kunnen worden gebruikt om phishing mails te sturen, bestellingen of abonnementen op uw naam af te sluiten of een poging te doen uw bankaccount over te nemen. Dergelijke cyberincidenten kunnen voorkomen worden met een goede cybersecurity. Daarom zoomen we in deze blog in op de zorgplicht onder de Cbw.
Inmiddels is er vanuit verschillende instanties informatie gedeeld over de Cbw, zoals het Nationaal Cyber Security Centrum en de Rijksinspectie Digitale Infrastructuur (“RDI”), die voor veel partijen onder de Cbw als toezichthouder zal optreden. De Rijksoverheid adviseert dan ook aan organisaties om nu alvast te beginnen met implementatie van de regels uit de Cbw, omdat de risico’s op cyberincidenten nu al aanwezig zijn.
Een van de verplichtingen onder de Cbw is de zorgplicht uit artikel 21 Cbw. De zorgplicht onder de Cbw houdt in dat essentiële en belangrijke entiteiten passende en evenredige technische en organisatorische maatregelen moeten treffen. Of aan de zorgplicht wordt voldaan wordt door de aangewezen toezichthouders gecontroleerd, onder andere door entiteiten te verplichten schriftelijk vast te leggen wat de entiteit doet na een attendering van de toezichthouder, het Computer Security Incident Response Team (“CSIRT”) of een andere overheidsinstantie.
In de Cbw zijn een aantal minimummaatregelen opgenomen om invulling te geven aan de zorgplicht:
Het Nationaal Cyber Security Centrum in Nederland heeft op haar website inmiddels een aantal adviesproducten ontwikkeld die kunnen helpen bij het implementeren van deze maatregelen.
Een ander handvat bij de implementatie van de Cbw zijn de ISO 27001 normen. ISO 27001 is de internationale standaard voor informatiebeveiliging. Een ISO-certificering toont aan dat de informatiebeveiliging van een organisatie goed beveiligd is. Een ISO-certificaat kan NIS2 compliance ondersteunen. Mede daarom heeft zowel het Europese agentschap voor Cyber Security (“ENISA”) als De Baseline informatiebeveiliging Overheid een tabel gemaakt waarin de ISO-normen vergeleken worden met de Cbw. De Baseline informatiebeveiliging Overheid bevat basisnormen voor informatiebeveiliging binnen de overheid (Rijk, gemeenten, waterschappen en provincies). ENISA bekommert zich over de cybersecurity in Europa. Verschillende maatregelen, zoals multi-factor authenticatie of incidentenbehandelingen, vallen onder de normen van ISO 27001 en zijn verplicht onder de zorgplicht van de Cbw. Het bezitten van ISO 27001 certificering kan dus helpen bij het voldoen aan de verplichtingen uit de NIS2, maar is niet voldoende om aan de verplichtingen onder de NIS2 te voldoen.
Waar de ISO-normen enkel eisen stellen aan de techniek en de organisatie daarvan, stelt de Cbw ook eisen aan het bestuur van een entiteit. Zoals ook in een eerdere blog beschreven, bepaalt artikel 24 van de Cbw dat bestuurders eindverantwoordelijk zijn voor de naleving van de Cbw verplichtingen. De NIS2, gaat niet in op de definitie van ‘het bestuur’. In de memorie van toelichting bij de Cbw wordt voor ‘bestuur’ aanknoping gezocht bij de Digital Operational Resilience act (“DORA”), een verordening met het doel de digitale weerbaarheid van financiële instellingen te verhogen. Uit deze verordening wordt afgeleid dat onder het bestuur wordt verstaan:
Het bestuur is bij rechtspersonen dus de gebruikelijke term uit boek 2 van het Nederlands Burgerlijk Wetboek (“BW”). De zorgplicht uit artikel 24 van de Cbw rust dus op het bestuur van een rechtspersoon in de zin van boek 2 BW. De memorie van toelichting verwijst in lijn hiermee naar de taak van het bestuur voor de N.V. en B.V. in respectievelijk artikel 2:129 en artikel 2:239 BW.
Naast bestuurders kunnen ook andere natuurlijke personen aansprakelijk gesteld worden voor schending van verplichtingen onder de Cbw. Het gaat hier om personen die, hoewel ze geen bestuurder zijn, in feite de besluiten nemen en controle uitoefenen over de naleving van de verplichtingen uit de Cbw. Deze aansprakelijkheid is dus niet beperkt tot bestuurders, maar kan ook zien op andere personen binnen een organisatie. In NIS2 is niet uitgewerkt hoe deze aansprakelijkheid vormgegeven moet worden. In Nederland wordt dit ingevuld met bestuursrechtelijke handhaving waarop de Algemene wet bestuursrecht (“Awb”) van toepassing is. Op basis van artikel 5:1 van de Awb geldt dat indien een rechtspersoon een overtreding begaat, degene die tot het feit opdracht gegeven heeft of degene die feitelijk leiding heeft gegeven ook een sanctie opgelegd kan krijgen, zoals een bestuurlijke boete. Dit wel onder de voorwaarde dat voldaan is aan het leerstuk feitelijk leidinggeven in de zin van de Awb.
De zorgplicht onder de Cbw brengt dus veel nieuwe verplichtingen en verantwoordelijkheden voor bestuurders van entiteiten mee. De ISO-normen kunnen steun bieden bij het voldoen aan de technische en organisatorische maatregelen die uit de Cbw volgen.
