De toezichthouder en cybersecurity

door 14 maart 2023juridisch

Cybercrime komt vandaag de dag zo vaak voor dat het een “normaal” bedrijfsrisico is geworden. Als relatief nieuw bedrijfsrisico staat dit echter nog lang niet altijd op het netvlies, laat staan op de agenda van de toezichthouder. Dat is echter riskant. Aan (gebrek aan) cybersecurity zitten continuïteitsbedreigende risico’s en daarmee kan het veronachtzamen van deze risico’s ook leiden tot persoonlijke aansprakelijkheid.

>

Cybersecurity als bedrijfsrisico

Het stelen van data, het vergrendelen van data voor losgeld, identiteitsfraude, phishing, het is al langere tijd aan de orde van de dag. En naar verwachting gaat het ook alleen nog maar meer toenemen. Deze incidenten kunnen een grote impact hebben op de bedrijfsvoering van de onderneming of instelling. Dit vanwege het feit dat het veel liquiditeit kan kosten, kan leiden tot reputatieschade of het kan resulteren in openbaar worden van vertrouwelijke informatie. Onder omstandigheden kan dat – zeker als een adequate verzekering ontbreekt – ook tot continuïteitsproblemen van de onderneming leiden.

“Stelen van data gaat naar verwachting alleen maar toenemen. Wat is jouw rol als toezichthouder in deze situatie?”

Dimitry Aertssen heeft als specialismen insolventierecht en ondernemingsrecht. Hij treedt veelvuldig op als curator en bewindvoerder in faillissementen en surseances en adviseert (aandeelhouders van) ondernemingen en bestuurders bij herstructureringen en bestuurders aansprakelijkheid.

Dimitry Aertssen
Partner Thuis Partners

043-3521397

>>

Wat is de taak van de toezichthouder met betrekking tot cybersecurity?

Het bestuur van de rechtspersoon is op grond van de wet verplicht de RvC of RvT ten minste één keer per jaar te informeren over de hoofdlijnen van het strategisch beleid, de algemene en financiële risico’s en het beheers- en controlesysteem van de vennootschap.

Voor de BV staat dit in art. 2:251 lid 2 BW. Voor andere rechtspersonen gelden vergelijkbare bepalingen.

Tot die algemene risico’s behoren in mijn ogen ook de risico’s ten aanzien van cybersecurity.

Indien het bestuur deze informatie niet uit eigen beweging verstrekt, dient de RvC of RvT er om te vragen. Dit is van groot belang. Een bestuurder die deze informatie niet verstrekt of een toezichthouder die er niet om vraagt, handelt simpelweg in strijd met zijn of haar wettelijke plicht.

>>>

Toenemende regelgeving Europa

Ook vanuit “Europa” nemen de verplichtingen met betrekking tot cybersecurity toe. In december 2022 zag de zogenaamde NIS 2 richtlijn, die uiterlijk op 17 oktober 2024 in nationale wetgeving moet worden omgezet, het levenslicht. De richtlijn verplicht onder meer middelgrote en grote ondernemingen in de sectoren energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie en digitale aanbieders tot het treffen van maatregelen om cyberbeveiligingsrisico’s te beheersen. Die richtlijn laat ik hier verder buiten beschouwing.

Dimitry Aertssen heeft als specialismen insolventierecht en ondernemingsrecht. Hij treedt veelvuldig op als curator en bewindvoerder in faillissementen en surseances en adviseert (aandeelhouders van) ondernemingen en bestuurders bij herstructureringen en bestuurders aansprakelijkheid.

Dimitry Aertssen
Partner Thuis Partners

043-3521397

>>>>

Welke aspecten zijn in het kader van toezicht van belang?

In mijn ogen zou de RvT erop toe moeten zien dat het bestuur onder meer de volgende acties heeft ondernomen:

  1. Heeft het bestuur in kaart gebracht welke risico’s uit hoofde van cybersecurity er bij de onderneming/instelling aanwezig zijn?
  2. Welke maatregelen zijn er genomen om deze risico’s in te perken? Is er een cybersecurityplan?
  3. Is er ten aanzien van de cybersecurity risico’s een verzekering afgesloten die ook voldoende dekking biedt?
  4. Zijn er aan deze verzekering voorwaarden verbonden? Worden die ook nageleefd?
  5. Is duidelijk wat er dient te gebeuren als er zich een cybersecurity incident voordoet?
  6. Op welke wijze wordt de RvC dan geïnformeerd en betrokken?

    Het is derhalve van belang dat de RvC/RvT erop toe ziet dat het bestuur aandacht heeft voor deze risico’s en terzake passende maatregelen heeft genomen.

Voor de duidelijkheid: in de rechtspraak is zeker geen sprake van risicoaansprakelijkheid in die zin dat als een risico zich verwezenlijkt, de bestuurder en de RvC automatisch aansprakelijk zullen zijn. Echter, indien er niets is gedaan aan risicobeheersing op dit punt en de RvC daar ook niet op heeft toegezien en de onderneming als gevolg daarvan kopje onder gaat, zit de RvC wel degelijk in de gevarenzone.

Kennisbank

Wij delen graag onze kennis

We hebben inmiddels al meer dan 250 artikelen in onze kennisbank opgenomen. En deze stellen wij graag aan u beschikbaar!

Vacatures

Diverse organisatie hebben vacatures

Vacatures in Limburg, Brabant en Gelderland binnen private en publieke organisaties overzichtelijk gepresenteerd.

Share This