.



Cybersecurity in de toekomst: bestuurdersaansprakelijkheid en gevangenisstraf

Matthijs van der Well 2023-09-600

Leidt een cyberincident tot financiële schade? Dan geldt voor ondernemingen die onder de NIS2 vallen dat directieleden bij bewezen nalatigheid persoonlijk aansprakelijk zijn. Maar hoort een gevangenisstraf ook tot de mogelijkheden?

Topadvocaat Bénédicte Ficq voert momenteel een verhitte strijd tegen de CEO van Tata Steel. Ze vindt dat hij achter de tralies thuishoort vanwege ernstige nalatigheid. Het bedrijf laat met zijn vervuiling volgens haar een spoor van dood en verderf achter. Het openbaar ministerie is inmiddels een grootschalig onderzoek gestart naar de haalbaarheid en wenselijkheid hiervan. De opmerkelijke zaak van Bénédicte Ficq tegen de CEO van Tata Steel doet ons nadenken over bredere aansprakelijkheidskwesties.

Parallel met cybersecurity

“Deze zaak laat zien dat de aansprakelijkheid van bestuurders zich verder kan uitstrekken dan gedacht”, zegt Matthijs van der Well, strategisch adviseur bij Orange Cyberdefense. Maar geldt dat ook voor andere terreinen? “Deze situatie roept zeker parallellen op met het gebied van cybersecurity. Want bedrijven die inadequaat reageren op beveiligingskwetsbaarheden kunnen ook grote schade veroorzaken. Niet aan onze gezondheid, maar zoals we inmiddels weten kunnen cybercriminelen enorme financiële schade toebrengen.”

NIS2 wil de digitale infrastructuur beter beschermen, maar zegt niks over strafrechtelijke verantwoordelijkheid voor bestuurders bij beveiligingsproblemen. Toch lijkt het Van der Well logisch dat als bestuurders aansprakelijk zijn voor milieuschade, ze dat ook zijn voor digitale schade.

Punten ter overweging

Het strafrecht kan bestuurders aanzetten tot beter gedrag. Maar er zijn volgens Van der Well wel een paar belangrijke punten waar we rekening mee moeten houden voordat we soortgelijke aanklachten op het gebied van security kunnen verwachten:

  1. Definitie van verantwoordelijkheid

Het is van vitaal belang om de verantwoordelijkheid van bestuurders op het gebied van cybersecurity te definiëren. Bij milieuvervuiling is het vrij snel duidelijk wie de schuldige is. Bij een beveiligingslek is dat een stuk lastiger vast te stellen. Dat komt door de complexiteit van technologie, de verborgen aard van digitale aanvallen en het gebrek aan tastbaar bewijs. Het is dus belangrijk om onder meer te weten of het bestuur effectieve stappen heeft genomen om risico's te verminderen. En of zij een cultuur van cybersecurity hebben bevorderd. Het vaststellen van nalatigheid vereist dus een complexe en diepgravende analyse.

  1. Normen en richtlijnen

De NIS2-regeling geeft basisregels voor cybersecurity, maar voor bijvoorbeeld softwareleveranciers zijn er geen duidelijke adviezen. Securitymaatregelen zijn niet voor iedereen hetzelfde en het is moeilijk om te zeggen wanneer een bedrijf geen adequate maatregelen heeft genomen. Het cybersecuritylandschap verandert voortdurend, met nieuwe bedreigingen en kwetsbaarheden die regelmatig opduiken. Wat als een ‘adequate’ maatregel werd beschouwd op een bepaald moment, kan in de loop der tijd verouderd raken.

  1. Technische complexiteit

Om cybersecuritykwesties te begrijpen, heb je technische expertise nodig. Rechters beschikken over het algemeen niet over deze knowhow. Uiteraard is het wel mogelijk om hiervoor deskundigen in te schakelen. Alleen, hier is natuurlijk in de cybersecuritywereld wel een tekort aan. Daarnaast is het lastig om complexe technische materie te vertalen naar begrijpelijke taal voor de rechtbank. Dat maakt het voor rechters dan weer lastiger om nauwkeurige uitspraken te doen over de schuld van bestuurders.

  1. Gunstig vestigingsklimaat voor bedrijven staat op het spel

Als bestuurders persoonlijk worden aangeklaagd, kan dat bedrijven wegjagen uit Nederland of Europa. Dat kan slecht zijn voor onze aantrekkelijkheid als vestigingsplaats en voor onze technologische vooruitgang in deze regio's.

  1. Demonisering en fysiek geweld

Het vragen om persoonlijke straffen voor bestuurders kan leiden tot boze reacties van het publiek en zelfs geweld tegen hen. Dit kan een gevaarlijke situatie creëren en het vermogen van bestuurders om goed te werken in gevaar brengen.

“De rechtszaak van Bénédicte Ficq tegen de CEO van Tata Steel is een spannende en belangrijke. Het gaat over de vraag of bestuurders aansprakelijk zijn voor de schade die ze veroorzaken. Dat is niet makkelijk te bepalen, want er spelen veel factoren mee. Denk aan techniek, ethiek en wetgeving. De uitspraak van de Ficq-zaak kan veel invloed hebben op andere zaken over security, en bovendien gevolgen hebben voor de manier waarop Nederland de NIS2-richtlijn vertaalt naar wetgeving. Het is voor de securitywereld daarom belangrijk om deze zaak nauwlettend in de gaten te houden”, aldus Van der Well.

Dossiers
Meer over
Lees ook
De naderende NIS2-deadline: dit is wat je moet weten

De naderende NIS2-deadline: dit is wat je moet weten

De implementatiedeadline van NIS2 staat op 17 oktober en nadert dus snel. Nederland voert deze richtlijn in als Cybersecuritywet (Cbw). Carl Leonard, Cybersecuritystrateeg bij Proofpoint voor de EMEA-regio, gaat verder in op de implementatie van NIS2 en de impact op organisaties die aan de nieuwe maatregelen moeten voldoen.

Lancering NIS2 Quality Mark-keurmerk

Lancering NIS2 Quality Mark-keurmerk

Vandaag is officieel het NIS2 Quality Mark in Europa gelanceerd. Dit in Nederland ontwikkelde keurmerk biedt mkb-bedrijven in Europa de mogelijkheid te voldoen aan de Europese NIS2-cybersecuritywetgeving, zonder het risico dat zij zich hierbij overkwalificeren. Het keurmerk waarborgt de positie van (mkb-) ondernemingen in de toeleveringsketen.

Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten

Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten

Afgelopen maand leidde een mislukte update van de CrowdStrike-software tot aanzienlijke problemen wereldwijd. Het incident, dat werd bestempeld als de grootste IT-storing ooit en maakte miljoenen Windows-apparaten onbruikbaar. Op basis van de 4 miljoen crash rapportages die Microsoft ontving op 19 juli, schatte Microsoft dat in totaal ongeveer 8,51