CEO niet op de hoogte van persoonlijke aansprakelijkheid voor cyberbeveiliging

Te veel bedrijven schieten nog altijd tekort op het gebied van cybersecurity. Het Europese beleid scherpt de eisen aanzienlijk aan. Individuele bestuurders zullen de gevolgen voelen, waarschuwt de Cyber Security Council.

Bedrijfsbestuurders zijn zich onvoldoende bewust van de risico's waarmee zij volgend jaar worden geconfronteerd. Europese regelgeving die van kracht wordt, maakt hen expliciet verantwoordelijk voor het cyberbeleid van hun organisatie. Zij kunnen persoonlijk aansprakelijk worden gesteld als zij deze plicht niet nakomen — en in extreme gevallen tijdelijk uit hun functie worden gezet.

Deze waarschuwing komt van de Cyber Security Council (CSR), die de regering adviseert over digitale veiligheid. Tot nu toe droegen bestuurders het cyberbeleid vaak over aan IT-afdelingen, waardoor hun rol beperkt bleef tot het goedkeuren van budgetten. Onder de nieuwe Europese regels — die van toepassing zijn op een groot aantal bedrijven en momenteel worden omgezet in Nederlandse wetgeving — moeten zij meer doen.

De CSR constateert dat veel bedrijven zich dit niet realiseren. Bestuurders moeten maatregelen tegen cyberrisico's goedkeuren en toezien op de uitvoering ervan. Zij moeten ook helpen de cybersecurity bij hun directe leveranciers te waarborgen.

Waarschuwingen en boetes. Advocaat en hoogleraar Lokke Moerel, lid van de raad, noemt de regels revolutionair. Nalatigheid zal sneller als een ernstige persoonlijke verwijtbaarheid worden aangemerkt, waardoor persoonlijke aansprakelijkheid in beeld komt — zelfs voor commissarissen. Bedrijven die niet aan de regels voldoen, krijgen eerst waarschuwingen en boetes tot 2% van de jaaromzet. Als verbetering uitblijft, volgen persoonlijke gevolgen voor individuele bestuurders.

Toeleveringsketens. Een zwakke achterdeur bij een kleine leverancier kan de hele keten beïnvloeden. De nieuwe regels dwingen grote bedrijven meer verantwoordelijkheid te nemen voor hun leveranciers. Naar schatting is 60% van de grotere en slechts 30% van de kleinere bedrijven zich bewust van cyberrisico's. Uit een onderzoek van Cisco bleek dat slechts 3% van alle bedrijven voorbereid is op de huidige cyberdreigingen.

Implementatie. In Nederland treden de regels in 2025 in werking. De inhoud is grotendeels bekend en zal waarschijnlijk niet veranderen. Ongeveer 10.000 bedrijven worden geraakt, tegenover grofweg 1.000 nu. Sectoren zoals de voedselproductie vallen voor het eerst onder een toezichthouder voor cybersecurity.

Het dreigingslandschap. Ransomware kan bedrijfsactiviteiten stilleggen; geopolitieke spanningen doen digitale dreigingen toenemen. Het aantal aanvallen neemt toe, mede aangedreven door AI. Cyberincidenten behoren tot de top drie van bedrijfsrisico's. Een cyberaanval op logistiek dienstverlener DP World in Australië legde grote havens plat — 30.000 containers konden niet worden verwerkt.

Wie wordt geraakt. De regels gelden voor alle bedrijven in aangewezen sectoren met minstens 50 werknemers en een omzet van meer dan €10 miljoen. Bedrijven moeten zelf bepalen of de verplichtingen op hen van toepassing zijn. Werkgeversorganisatie VNO-NCW hoopt dat toezichthouders in eerste instantie de nadruk leggen op leren in plaats van direct op boetes.