NIS2 aansprakelijkheid
In dit artikel informeren we u over de NIS2 aansprakelijkheid voor bestuursleden. De recent bijgewerkte Network and Information Security (NIS2) richtlijn vertegenwoordigt een verschuiving in de benadering van cybersecurity binnen de Europese Unie. Onder Onder de NIS2-richtlijn breidt de verantwoordelijkheden van organisaties uit. Daarbij legt zij eisen op aan de besturen van zowel essentiële als belangrijke entiteiten.
Vanaf eind 2024 zal de NIS2-regelgeving van kracht worden. Hiermee is het noodzakelijk voor veel bedrijven om maatregelen te nemen en cybersecurity te implementeren. Wilt u weten of uw organisatie te maken heeft met NIS2 aansprakelijkheid? Via deze link vindt u uitgebreide informatie en kunt u controleren of NIS2 voor uw organisatie geldt.
NIS2-verplichtingen #
Eén van de meest opvallende veranderingen is de expliciete NIS2 aansprakelijkheid die aan het management wordt opgelegd. Besturen van essentiële en belangrijke entiteiten zijn direct aansprakelijk voor naleving van de richtlijn.
Om aan haar verantwoordelijkheden te voldoen, moet het management:
- de risicobeheersmaatregelen omtrent cyberbeveiliging goedkeuren, zoals vereist door Artikel 18;
- toezicht houden op de implementatie van de richtlijn;
- verantwoordelijkheid nemen voor de naleving van de richtlijn.
Voor bestuurders is het dus van belang om proactief te zijn in het beheren van cyberbeveiliging en alert te blijven op mogelijke dreigingen.
Cybersecurity training #
Het vormt een verplichting vanuit de NIS2-richtlijn dat leden van het management getraind worden in cybersecurityrisico’s en -beheer. Leden van managementteams dienen immers goed uitgerust te zijn om cybersecurityrisico’s te evalueren en de impact op de bedrijfsvoering te begrijpen. Dit wordt bereikt door het volgen van cybersecurity trainingen. Bestuurders dienen aantoonbaar aan dergelijke training te hebben deelgenomen.
Wie wordt toezichthouder van NIS2? #
De handhaving van NIS2 ligt bij de nationale autoriteiten, die de bevoegdheid hebben om:
- inspecties ter plaatse en op afstand uit te voeren, inclusief het nemen van steekproeven;
- regelmatige audits en gerichte beveiligingsaudits uit te voeren;
- informatieverzoeken te initiëren om de maatregelen van een entiteit te beoordelen.
Gefaseerde benadering #
Cyberrisico’s hebben een snel escalerende aard. Ze kunnen een aanzienlijke impact hebben. Daarom hebben nationale autoriteiten de bevoegdheid om direct in te grijpen, met een waaier aan maatregelen. De NIS2-richtlijn hanteert een gefaseerde benadering voor naleving en sancties. Dit start met waarschuwingen. Bij voortdurende niet-naleving volgen er bindende instructies en boetes.
NIS2 boetes #
Niet-naleving kan leiden tot onder meer de onderstaande sancties:
- waarschuwingen en bindende instructies om tekortkomingen te corrigeren;
- eisen om bepaalde activiteiten te stoppen;
- verplichtingen om risicobeheersmaatregelen aan te passen;
- openbaarmaking van niet-naleving en publicatie van de verantwoordelijke individuen of organisaties.
Essentiële entiteiten kunnen daarnaast te maken krijgen met specifieke maatregelen zoals het aanstellen van een toezichthoudend ambtenaar en, indien nodig, het tijdelijk voorkomen dat individuen in managementposities hun verantwoordelijkheden uitvoeren.
NIS2 aansprakelijkheid #
De introductie van NIS2 aansprakelijkheid voor het bestuur benadrukt het belang van een actieve en geïnformeerde rol van bestuurders in cybersecurity. Vanwege de mogelijke juridische en financiële consequenties van niet-naleving, dienen zij deze verantwoordelijkheden serieus te nemen. Het is belangrijk dat bestuurders de nodige stappen zetten om hun organisaties adequaat te beschermen tegen cyberdreigingen.