Nieuwe strenge Europese regels dwingen bestuurder bedrijf tot verhoogde aansprakelijkheid
Gepubliceerd op 30 september 2024
Bestuurders van bedrijven zijn zich onvoldoende bewust van het risico dat zij lopen met betrekking tot de aansprakelijkheid over cybersecurity. In de komende jaren zullen er significante veranderingen plaatsvinden in de wetgeving rond cybersecurity, waaronder nieuwe Europese regels die bestuurders expliciet verantwoordelijk maken voor de cybersecurity van hun bedrijf. Als bestuurders nalatig zijn in het (laten) naleven van deze nieuwe regels, kunnen zij verantwoordelijk worden gesteld. Dit begint met een waarschuwing en kan uiteindelijk leiden tot een boete van maximaal 2% van de jaaromzet. Indien hier aanleiding voor is, kan het zelfs strafrechtelijke gevolgen hebben voor de bestuurder zelf.
De Cyber Security Raad (CSR) signaleert al langere tijd dat bestuurder de eindverantwoordelijkheid voor adequate maatregelen overlaat aan de organisatie. Bestuurders laten hun cybersecurity vaak over aan de IT-afdeling en houden zich enkel bezig met de goedkeuring van het budget. De nieuwe Europese regels, die momenteel worden vertaald naar Nederlandse wetgeving, vereisen dat bestuurders meer eindverantwoordelijkheid nemen voor cybersecurity. Dit omvat het goedkeuren van maatregelen tegen cyberdreigingen en het toezien op de uitvoering hiervan. Op deze manier worden bestuurders actiever betrokken bij de bedrijfsvoering en aangesproken op hun verantwoordelijkheid.
Daarnaast verplichten de nieuwe regels bedrijven om hun directe toeleveranciers te ondersteunen bij het up-to-date houden van hun cybersecurity. Dit zal ervoor zorgen dat kleinere bedrijven, die in verbinding staan met grote ondernemingen, worden geholpen en niet achterblijven. Door kennis te delen, wordt ervoor gezorgd dat ook kleine bedrijven digitaal sterker en veiliger worden.
Uit schattingen blijkt dat 60% van de grote bedrijven en 30% van de kleine bedrijven zich bewust zijn van de risico’s van cybersecurity. Echter, slechts 3% van alle bedrijven is klaar voor een cyberbedreiging.
Het is van essentieel belang dat bedrijven nu beginnen met het verbeteren van hun cybersecurity om klaar te zijn voor de nieuwe regels die in 2025 van kracht worden. De inhoud van deze regels zijn voor het grootste deel al bekend, en er zullen geen wijzigingen meer plaatsvinden, zegt de CSR. Een deel van de regels geldt nu al voor ongeveer 1.000 essentiële bedrijven, zoals de meldplicht bij cyberincidenten. Met de nieuwe wetgevoing zullen 10.000 bedrijven zich ook aan deze verplichtingen moeten gaan houden.
Deze aanvullende wetgeving is niet zonder reden ingevoerd. De dreiging van cyberaanvallen is nog nooit zo hoog geweest, en wetgevers hebben gemeend de regels extra aan te scherpen zodat het bedrijfsleven op de toenemende bedreiging adequaat kan reageren.
Hulp nodig bij het in beeld krijgen van uw cybersecurity? Neem vrijblijvend contact op met onze netwerkspecialisten.