Wordt de directie persoonlijk aansprakelijk voor IT-fouten onder de NIS2-richtlijn?

De NIS2-richtlijn lijkt nog ver weg, maar omdat de gevolgen groot kunnen zijn, moeten bedrijven niet te lang wachten met actie. Dat las ik bij Dutch IT Channel.  “Heel belangrijk detail is dat de directie van bedrijven persoonlijk aansprakelijk wordt voor het conformeren aan deze wetgeving”, zo werd uitgelegd tijdens een bijeenkomst van de Dutch Cybersecurity Assembly. Oh wacht even, heb ik iets gemist?

NIS-2 is de tweede versie van de Europese Network and Information Systems-richtlijn, die voor het eerst in 2016 uitkwam. Bij Computable leggen ze uit waar het om gaat:

[De] kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht wil dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ is er dus (veel) werk aan de winkel.
En de ophef is groot, want waar de eerste NIS-richtlijn alleen enkele specifieke sectoren betrof, is de reikwijdte nu zo groot dat ook bijvoorbeeld managed hostingbedrijven eronder gaan vallen. Computable noemt een aantal van zesduizend bedrijven dat binnenkort met deze regels te maken krijgt.

Nou is dat niet de eerste keer – ik noem de AVG – maar er lijkt nu extra veel herrie te komen, wat mogelijk komt door die angst voor persoonlijke aansprakelijkheid. Bij de AVG viel dat wel mee, daar kun je als directeur alleen persoonlijk een claim krijgen als je niet-naleving zo ernstig is dat we van wanbestuur kunnen spreken.

Bij de NIS2-richtlijn is er meer. Het governance-artikel (20) bepaalt namelijk in lid 1:

De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
Dus bestuursorganen van de entiteiten die onder de richtlijnen vallen, moeten zorgen dat ze toezicht houden op de uitvoering en de wetgever moet zorgen dat ze aansprakelijk gesteld kunnen worden als ze artikel 21 schenden. Artikel 21 is dan het artikel met de algemene beveiligingseisen. Maar wat is een “bestuursorgaan”? De NIS-richtlijn definieert het niet, en het begrip is duidelijk niet bedoeld als het bestuursrechtelijke begrip ‘bestuursorgaan’. Vermoedelijk zocht men een generieke term voor zaken zoals een holding, of de bestuursafdeling.

Maar het gaat verder, in artikel 29 staat letterlijk (lid 6):

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Kort gezegd: iedere bestuurder van een bedrijf moet wettelijk bevoegd zijn om security-maatregelen te nemen, zodat directeur A dat niet klein kan houden “vanwege de kosten” terwijl directeur B graag breed wil uitpakken. Maar ook zijn deze personen dus zélf aansprakelijk voor het niet-nakomen.

Dat wil natuurlijk niet zeggen dat iedereen ter wereld maar even geld mag komen eisen bij de directeur privé zodra een bedrijf een of andere maatregel niet is nagekomen. De crux zit hem erin dat de beveiligingseis een open norm is: je moet adequaat beveiligen, en pas als je dus écht onder maat bent gebleven, is er mogelijk een aansprakelijkheidsdiscussie te voeren. En dan moet er ook nog eens geldelijk schade geleden zijn die aan die directeur te verwijten is.

Arnoud

 

6 reacties

  1. “Gelukkig” geldt de NIS-2 alleen voor “middelgrote ondernemingen” (Artikel 1) (lees: ondernemingen met 50 of meer personen in dienst (Artikel 2 Aanbeveling 2003/361/EG)). Veel managed hosting bedrijven halen dat niet, zeker als ze hun sales hebben uitbesteed aan een zusteronderneming.

    1. Hier zijn expliciete uitzonderingen op, zie artikel 2.2: “Deze richtlijn is ook van toepassing op entiteiten van het in bijlage I of II bedoelde soort, ongeacht hun omvang”.

      Voor hostingbedrijven specifiek zijn artikelen 2.2.a.iii en 2.4 van belang: de uitzondering op minimale grootte geldt o.a. voor: – 2.2.a.iii: “registers voor topleveldomeinnamen en verleners van domeinnaamregistratiediensten“. – 2.4: “entiteiten die domeinnaamregistratiediensten verrichten”

      Hoewel 2.2.a.iii een vertaalfout lijkt te zijn (in het Engels staat er “domain name system service providers”), neemt 2.4 alle twijfel weg. Iedere webhoster of zelfs reseller, ook al biedt hij als eenmanszaak maar aan enkele klanten diensten aan, valt onder de richtlijn.

      Ik vermoed en hoop dat deze specifieke clausule nog verder uitgewerkt zal worden in de nationale wetgeving.

  2. Is een aandeelhoudersvergadering ook een bestuursorgaan? Ik kan mij voorstellen dat aandeelhouders tegen een begroting kunnen stemmen waarbij er extra geld naar de IT afdeling gaat, waar het hard nodig is en op die manier invloed kunnen uitoefenen.

    Is een aandeelhouder (of bestuurslid) nog steeds aansprakelijk als hij voor het extra IT geld heeft gestemd terwijl de meerderheid tegen was? Als dit hem red, succes om aan te tonen wat hij gestemd had als het een gesloten stemming was.

    Wie mag allemaal een zaak starten onder NIS2? Alleen een toezichthouder of iedereen die mogelijk schade heeft van het cyberincident? Ik zie het al voor me: Een cyberlek bij een bedrijf in olie, auto, wapen of andere controversiële industrie en actiegroepen gaan zich in allerlei bochten wringen om alle aandeelhouders onder de zon voor de rechter te krijgen om op die manier investering te ontmoedigen.

    Naast dit alles vraag ik mij ook af of dit ook op overheidsinstanties van toepassing is en of de directie aansprakelijkheid dan helemaal door gaat naar de minister.

    1. Aandeelhouders zijn per definitie geen bestuurders, de aandeelhouders benoemen het bestuur (en ontslaan deze) maar mogen geen operationele beslissingen nemen. Dus nee, ik denk niet dat aandeelhouders onder de NIS-2 aansprakelijk gehouden kunnen worden voor foute besluiten. Ik twijfel wel of een budgetpost zoals security-prijs door de aandeelhouders goedgekeurd moet worden.

      1. In de blogpost zeg je dat het woord bestuursorgaan gebruikt wordt om waarschijnlijk dingen zoals een holding te dekken. Maar een holding is toch een vennootschap dat alle aandelen bezit? Waarom zou NIS-2 anders omgaan met een holding die alle aandelen bezit of met een groepje personen die gezamenlijk alle aandelen bezitten?

        Ik kan mij voorstellen dat een holding de teugels van het bestuur iets strakker vast houdt dan een aandeelhoudersvergadering, maar is dat verschil groot genoeg om een andere uitkomst onder NIS-2 te hebben?

        1. Ik ben gewend dat er vanuit de holding een bestuurder (m/v) geleverd wordt, meestal haar dga, dus daarom zou de holding aansprakelijk worden. Maar je hebt gelijk, als de holding zuiver aandelen houdt en verder geen bemoeienis heeft dan zie ik niet hoe de holding aansprakelijk kan worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.