De recente invoering van de 'Network and Information Security Directive 2' legt de verantwoordelijkheid voor cyberveiligheid nadrukkelijk bij bedrijfsbestuurders, te midden van groeiende zorgen over cyberweerbaarheid.
De geopolitieke dreiging neemt toe door de intreding van staatshackers in de cyberspace. Het Hoofd Weerbaarheid van de AIVD stelt zelfs dat China, dat overigens bekend staat om haar offensieve cyberprogramma, de grootste bedreiging voor Nederland vormt (1). Om de weerbaarheid van Europese bedrijven te bevorderen is de ‘Network and Information Security Directive 2’ opgesteld, waarin het bestuur een actieve verplichting krijgt. De redactie van PONT Data & Privacy ging in gesprek met Yolanda van Setten, eigenaar van adviesbureau Cum Sensu dat adviseert op gebied van cybercrime, over de bestuursaansprakelijkheid uit de NIS 2 richtlijn.
“Informatiebeveiliging wordt vooral gezien als ‘iets voor de Chief Information Security Officer’ (CISO), terwijl bestuurders de focus vooral hebben, niet geheel verwonderlijk, op de bedrijfsvoering, op de primaire processen binnen een bedrijf. Dit terwijl het de verantwoordelijkheid van de bestuurder is om alle belangen van het bedrijf te beschermen.
Cyberveiligheid vraagt investeringen in mensen en middelen. Investeringen die zich moeilijk laten vertalen in directe opbrengsten, in geld, voor een bedrijf. Net zoals met brandveiligheid jaren geleden het geval was, zijn mensen zich niet bewust van risico’s, tot het moment dat de risico’s zich daadwerkelijk voordoen.
Digitale risico’s, zo wordt ook geconstateerd in het Cybersecuritybeeld Nederland 2023, maken deel uit van een enorm breed, complex en dynamisch risicopalet. Bestuurders zijn zich over het algemeen nauwelijks bewust van de omvang hiervan. De NIS 2 brengt dit dilemma naar de bestuurstafels en dat is maar goed ook. Bestuurders zullen zich moeten laten voorlichten door niet alleen hun CISO’s, maar ook door juristen en door de medewerkers, op operationeel, strategisch en praktisch niveau. Het is een organisatiebrede verantwoordelijkheid, waarbij niet alleen de digitale gevaren voor de risicobeoordeling van belang zijn, maar ook fysieke gevaren ten aanzien van de systemen, zoals overstromingen, diefstal en brand.
Een voorbeeld ter verduidelijking. De NIS2 gaat uit van een risicogestuurde aanpak van informatiebeveiliging, waarbij onder andere de bedrijfscontinuïteit en crisisbeheer in de risicoanalyse een rol spelen. Het maken van plannen en het voorbereiden (ook oefenen) op incidenten, net als het melden van die incidenten, leidt tot een veelheid aan verschillende functies binnen bedrijven die betrokken moeten zijn. Om NIS 2 goed te implementeren moet een bedrijfsbrede projectgroep geformeerd worden. Het bestuur moet hier de lead in nemen, budget toewijzen, sturen op de outcome. Het bottom-up benaderen zonder commitment van bestuur zal niet tot goede implementatie leiden.”
“Goede bedrijfsvoering vraagt veel meer kennis dan vroeger. Bestuurders moeten inmiddels nadenken en beslissingen nemen over duurzaamheid van hun producten en processen, over bijvoorbeeld hybride werken, en ook over de cyberveiligheid.
Na de eerste implementatie van NIS 2 mag het onderwerp niet van de bestuurstafel vallen. De geopolitieke dreigingen, de opkomst van kwantumcomputing en de democratisering van artificial intelligence, zijn ontwikkelingen die continue manen tot het maken van keuzes in de bedrijfsvoering en specifiek de cybersecurity. Kwantumcomputing bijvoorbeeld lijkt ver van eenieders bed. Wat het feitelijk zal brengen is dat wachtwoorden veel sneller en eenvoudiger worden gekraakt zullen kunnen worden. Het is dan aan bestuurders, daarbij geadviseerd door hun medewerkers, om de keuze te maken of de beveiliging aangepast moet worden, of om het risico te nemen dan de beveiliging gekraakt wordt.
Het risico van ‘koude’ implementatie van NIS 2, dat wil zeggen enkel uitvoeren naar de letter van de regeling, is dat ingezet wordt op het ‘afvinken’ van de lijst van activiteiten die een bedrijf moet uitvoeren. Het invoeren van maatregelen zonder na te denken over de achterliggende risico’s en effecten heeft geen zin. Elk bedrijf zal naar de eigen kroonjuwelen moeten kijken om een inschatting te kunnen maken. Het bepalen van de kroonjuwelen is bij uitstek ook een taak en verantwoordelijkheid voor bestuurders.
Dit vraagt geen in depth kennis van bestuurders op technisch vlak, maar vooral het besef dat deze verantwoordelijkheid ook op hun bord ligt. Ze moeten dus de juiste adviseurs uitnodigen om hen te voeden, vanuit de eigen medewerkers. Een bestuurder hoeft immers ook niet zelf een accountant te zijn om de cijfers van het bedrijf te kunnen snappen. Hetzelfde geldt voor cybersecurity.”
“De NIS 2 ziet niet alleen toe op informatiebeveiliging, maar ook op het vergroten van de weerbaarheid van organisaties tegen aanvallen, met een focus op de ketenverantwoordelijkheid. Bij het maken van keuzes hoort ook het kiezen met welke partners wordt samengewerkt, op welke manier wordt samengewerkt en hoe die samenwerking moet worden beschermd.
Door in de gehele keten de cybersecurity op orde te krijgen, kom je met elkaar sterker te staan. De digitalisering van de samenleving betekent immers dat alles en iedereen met elkaar in verbinding staat. Het gesprek vertalen naar de juridische aansprakelijkheid van een leverancier bij het niet op orde hebben van cybersecurity is slechts een klein onderdeel van beveiliging, en is meer sluitstuk dan doel. Als juristen gaan praten over aansprakelijkheid, dan is het in feite al te laat.
Het is veel belangrijker om eerder met elkaar te onderkennen welke risico’s er zijn en op welke manier je die kan tackelen. De NIS 2 voorziet hier ook in door expliciet rechtstreekse leveranciers of dienstverleners onder de ketenverantwoordelijkheid van bedrijven te laten vallen. Daar houdt het echter niet op. Bedrijven kunnen daarbij ook risico’s in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers op een ander niveau, waardoor een waterbedeffect kan worden bereikt.
De doorwerking van die ketenverantwoordelijkheid kun je daarmee in de gehele keten gaan merken. Het opnemen van voorwaarden en afspraken in contracten is dan een middel, het gesprek over cybersecurity is wellicht veel belangrijker. Het besef en begrip dat cybersecurity ‘chefsache’ is, is een van de belangrijkste mijlpalen om over het geheel cyberveiliger en weerbaarder te worden. Het onderwerp hoort dan ook een vaste plek op de agenda van de bestuurstafel te hebben.”
Meer weten over de NIS 2 richtlijn? Klik hier voor de cursus ‘NIS2 – Introductie en praktische handvatten’.
(1) https://www.computable.nl/2024/02/01/aivd-china-vormt-de-grootste-bedreiging-voor-nederland/
