Cybersecurity is een hot topic in de zakenwereld, maar wat gebeurt er als een bedrijf faalt in het beschermen van zijn digitale infrastructuur en dit leidt tot financiële schade? Voor bedrijven die onder de Europese NIS2-richtlijn vallen, is het antwoord duidelijk: bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor bewezen nalatigheid. Maar is dit wel de juiste manier om digitale veiligheid te bereiken?
De recente juridische strijd tussen topadvocaat Bénédicte Ficq en de CEO van Tata Steel werpt nieuw licht op de bestuurdersaansprakelijkheid. Ficq stelt dat de CEO celstraf verdient vanwege ernstige nalatigheid met betrekking tot milieuvervuiling. Dit opent het debat over vergelijkbare situaties op het gebied van cybersecurity. Als bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor milieuschade, waarom dan niet voor digitale schade? Deze opmerkelijke zaak zal hoe dan ook gevolgen gaan hebben voor bestuurders en ondernemers. Maar of het ook tot vergelijkbare aanklachten in de wereld van cybersecurity gaat leiden, is de vraag.
Zaak om een bedrijfscultuur van cybersecurity te bevorderen
Het is niet eenvoudig om te beoordelen wie er schuldig is als er iets misgaat in de wereld van cybersecurity. Er is niet altijd duidelijk bewijs en de technische aard van cyberdreigingen maakt het ingewikkeld. Daarom is het belangrijk om te begrijpen wie er verantwoordelijk is en welke inspanningen bestuurders doen om risico’s te verminderen en een bedrijfscultuur van cybersecurity te bevorderen.
Iedere branche is anders
Daarnaast is elke sector anders als het om cybersecurity gaat. Hoewel er basisregels zijn vastgelegd in de NIS2-richtlijn, is er geen one-size-fits-all advies. Wat vandaag werkt, kan morgen verouderd zijn door de voortdurende verandering van cyberdreigingen.
Het wordt nog ingewikkelder als je bedenkt dat rechters vaak beperkt kennis hebben van digitale zaken. Het is lastig om complexe technische details begrijpelijk te maken voor de rechtbank.
Brede gevolgen
Tot slot moeten we nadenken over bredere gevolgen, zoals de aantrekkelijkheid van bepaalde gebieden voor bedrijven en het risico van boze reacties van het publiek, misschien zelfs geweld, als bestuurders persoonlijk verantwoordelijk worden gehouden voor cybersecurityfouten. Dit zijn allemaal belangrijke factoren om te overwegen bij de vraag hoe bestuurdersaansprakelijkheid in de wereld van cybersecurity zal uitwerken.
De uitspraak in de Tata Steel-zaak zal wellicht fungeren als een richtlijn voor toekomstige zaken en zal de manier waarop NIS2-richtlijnen worden geïnterpreteerd en nageleefd, beïnvloeden. We moeten deze ontwikkeling nauwlettend volgen, want het heeft het potentieel om de manier waarop bedrijven cybersecurity benaderen, ingrijpend te veranderen. Wat ons betreft zouden we meer kunnen kijken naar bewezen oplossingen zoals ISO of keurmerken. Als bedrijven die erkende standaarden implementeren zou dat toch voldoende moeten zijn om geen persoonlijke aansprakelijkheidszaak aan te gaan tegen directeuren en besturen van grote bedrijven.
Meer informatie over NIS2 wat je als bestuurder nu al kunt doen, lees je op samendigitaalveilig.nl
