Wordt de directie persoonlijk aansprakelijk voor IT-fouten onder de NIS2-richtlijn?

De NIS2-richtlijn lijkt nog ver weg, maar omdat de gevolgen groot kunnen zijn, moeten bedrijven niet te lang wachten met actie. Dat las ik bij Dutch IT Channel.  “Heel belangrijk detail is dat de directie van bedrijven persoonlijk aansprakelijk wordt voor het conformeren aan deze wetgeving”, zo werd uitgelegd tijdens een bijeenkomst van de Dutch Cybersecurity Assembly. Oh wacht even, heb ik iets gemist?

NIS-2 is de tweede versie van de Europese Network and Information Systems-richtlijn, die voor het eerst in 2016 uitkwam. Bij Computable leggen ze uit waar het om gaat:

[De] kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht wil dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ is er dus (veel) werk aan de winkel.
En de ophef is groot, want waar de eerste NIS-richtlijn alleen enkele specifieke sectoren betrof, is de reikwijdte nu zo groot dat ook bijvoorbeeld managed hostingbedrijven eronder gaan vallen. Computable noemt een aantal van zesduizend bedrijven dat binnenkort met deze regels te maken krijgt.

Nou is dat niet de eerste keer – ik noem de AVG – maar er lijkt nu extra veel herrie te komen, wat mogelijk komt door die angst voor persoonlijke aansprakelijkheid. Bij de AVG viel dat wel mee, daar kun je als directeur alleen persoonlijk een claim krijgen als je niet-naleving zo ernstig is dat we van wanbestuur kunnen spreken.

Bij de NIS2-richtlijn is er meer. Het governance-artikel (20) bepaalt namelijk in lid 1:

De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
Dus bestuursorganen van de entiteiten die onder de richtlijnen vallen, moeten zorgen dat ze toezicht houden op de uitvoering en de wetgever moet zorgen dat ze aansprakelijk gesteld kunnen worden als ze artikel 21 schenden. Artikel 21 is dan het artikel met de algemene beveiligingseisen. Maar wat is een “bestuursorgaan”? De NIS-richtlijn definieert het niet, en het begrip is duidelijk niet bedoeld als het bestuursrechtelijke begrip ‘bestuursorgaan’. Vermoedelijk zocht men een generieke term voor zaken zoals een holding, of de bestuursafdeling.

Maar het gaat verder, in artikel 29 staat letterlijk (lid 6):

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Kort gezegd: iedere bestuurder van een bedrijf moet wettelijk bevoegd zijn om security-maatregelen te nemen, zodat directeur A dat niet klein kan houden “vanwege de kosten” terwijl directeur B graag breed wil uitpakken. Maar ook zijn deze personen dus zélf aansprakelijk voor het niet-nakomen.

Dat wil natuurlijk niet zeggen dat iedereen ter wereld maar even geld mag komen eisen bij de directeur privé zodra een bedrijf een of andere maatregel niet is nagekomen. De crux zit hem erin dat de beveiligingseis een open norm is: je moet adequaat beveiligen, en pas als je dus écht onder maat bent gebleven, is er mogelijk een aansprakelijkheidsdiscussie te voeren. En dan moet er ook nog eens geldelijk schade geleden zijn die aan die directeur te verwijten is.

Arnoud

 

Welk bordje wint: “niet aansprakelijk” of cameratoezicht?

Via Twitter kreeg ik deze prachtige combinatie van bordjes:

niet-aansprakelijk-wel-bewaken

Mooi is dat. Enerzijds zeggen dat je niet aansprakelijk bent voor zoekgeraakte kleding, anderzijds trots melden dat je uw en onze veiligheid én eigendommen bewaakt middels cameratoezicht.

Natuurlijk is dit een gevalletje 2x bureaucratische compliance: wie cameratoezicht wil hanteren, moet een bordje ophangen, en wie zijn klanten wil afschrikken van claims, moet een bordje ophangen. Dus hangen er nu twee bordjes maar niemand gaat over het onderlinge conflict van die bordjes, dus blijft het zo hangen.

Maar goed, toch even de jurist uithangen: wat ‘wint’ er nu?

Die vraag is nog ingewikkelder dan je zou denken. Enerzijds is dat “stelt zich niet aansprakelijk”-bordje juridisch betekenisloos, anderzijds is de “wij bewaken” ook niet meer dan een braaftaalfrase voor “wij filmen u”. Dus twee keer zinloos gemeld, als het ware.

Dat exoneratiebordje is betekenisloos, want je kunt niet met een eenzijdige mededeling je aansprakelijkheid beperken. En zelfs als je dat bordje wél als een contract opvat, dan is het niet rechtsgeldig want het contract gaat dan over het passen op de spullen (juridisch: bewaarneming) en het is gewoon niet redelijk om bij bewaarneming je aansprakelijkheid voor kwijtraken uit te sluiten.

Het bewakingsbordje is bedoeld om te voldoen aan de wetgeving over cameratoezicht. Dat mag alleen als dat duidelijk is aangekondigd. Logisch dus dat er een bordje hangt. Maar “U wordt gefilmd door onze beveiligingscamera” klink zo onaardig, dus zetten mensen daar dingen als “Wij waken over uw en onze eigendommen” bij. En dan heb je gelijk juridische grapjassen die dan zeggen “Aha, nu heeft u een zorgplicht op zich genomen om over mijn eigendommen te waken, dus ik stel u aansprakelijk bij vermissing of diefstal daarvan.”

Ik betwijfel of dat houdbaar is, want uiteindelijk wéten we dat mensen het alleen maar zeggen om op een niet-confronterende manier te zeggen dat je wordt gevolgd. Als een agent zegt “mag ik alstublieft uw ID zien” dan is dat ook niet meer dan een beleefde manier van zeggen “Ik vorder hierbij op grond van artikel 2 Wet op de Identificatieplicht inzage in uw identiteitsbewijs zoals bedoeld in artikel 1 daarvan.” En in het Nederlands recht wegen bedoelingen minstens zo zwaar als de letterlijke tekst, zeker bij contractuele afspraken.

Dus wat mij betreft: leuk voor op de borrel zo’n juxtapositie maar het levert niets op.

Arnoud

Mag het systeembeheer zomaar zelf regels maken?

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud