NIS 2 wetgeving en gevolgen bestuurdersaansprakelijkheid, zo werkt het

In de huidige wereld wordt er louter nog digitaal gecommuniceerd en worden gegevens digitaal opgeslagen. Dit betekent dat het ouderwets beschermen van alle gevoelige informatie niet meer achter het ouderwetse slot en grendel kan. De te beschermen informatie is namelijk opgeslagen op computers en meer gevaarlijk in ‘clouds’. Dit heeft ertoe geleid dat kwaadwillende mensen trachten in te breken in de cloud, de informatie willen stelen, dan wel het systeem platleggen en daar losgeld voor vragen. Dit zal in alle gevallen zeer vervelend zijn, maar in sommige gevallen uiterst funest voor een land. Bij het platleggen van een vitale leverancier van diensten, denk aan banken, energieleveranciers, logistieke bedrijven etc. kan een land worden platgelegd en nog belangrijker kan er belangrijke informatie worden ontnomen. Dit leidt tot een inbreuk op de nationale veiligheid en dient om die reden goed te worden beschermd.

Gezien het bovenstaand geschetst heeft geleidt tot een nieuwe wijze van inbreken om gevoelige informatie te bemachtigen en een nieuwe vorm van een misdrijf plegen, zijn de oplossingen en wetgeving nog vrij nieuw en in een beginnende fase. Nu private bedrijven veelal de essentiële zaken en taken van een land regelen, dient wetgeving te worden ingevoerd die deze private bedrijven kunnen dwingen om hun systemen en gegevens zo te beveiligen dat er geen inbreuk op kan worden gemaakt en de nationale veiligheid hierdoor kan worden gewaarborgd. Hierom is de NIS 2- Richtlijn (Network and Information Systems) in het leven geroepen om cybersecurity door bedrijven op te laten schroeven en hier gevolgen aan te verbinden wanneer bedrijven niet voldoen aan de minimaal gestelde eisen.

In dit memorandum tracht ik de NIS 2 Richtlijn als een ui te pellen, hiervoor zal ik eerst ingaan op de
inwerkingtreding van de NIS 2 – Richtlijn, vervolgens de reikwijdte van de richtlijn te bepalen, de minimale eisen die worden gesteld uiteenzetten en uiteindelijk de gevolgen van het niet naleven van de voorschriften bespreken. Meer specifiek en het doel van dit onderzoek is om te bepalen of de NIS 2 Richtlijn een inbreuk kan maken op de werking van de beperkte bestuurdersaansprakelijkheid.

Inwerkingtreding NIS 2- Richtlijn

De NIS 2 – Richtlijn is een vervolg op de in 2016 ingevoerde NIS 1 – Richtlijn, in Nederland de Wbni. De NIS 1 had doel om grote bedrijven en instellingen die fundamentele taken in de samenleving (Europa) vervullen, te verplichten de informatiebeveiliging te verbeteren en cyberaanvallen te voorkomen. In de NIS 2 richtlijn zijn strengere richtlijnen opgenomen en moeten meer bedrijven zich aan de regels houden, zo worden ook zorginstellingen en leveranciers van ICT-diensten o.a. meegenomen. De NIS 2 richtlijn, formeel genaamd “Directive EU 2022/2555” is op 14 december 2022 gepubliceerd. De lidstaten van de EU moeten uiterlijk op 17 oktober 2024 de wet hebben geïmplementeerd in hun wetgeving en deze ook hebben gepubliceerd. Vanaf 18 oktober 2024 zal dit van kracht gaan en moeten ze de wetgeving uitvoeren.

Er zal een Europese groep worden gevormd, “CYCLONe”, die deze wet en de uitvoering daarvan zal overzien. Door in contact te zijn met alle lidstaten proberen zij door gedeelde ervaring een zo sterk mogelijk cybersecuritysysteem in de EU-lidstaten te bewerkstelligen. De bedrijven die onder de NIS 2 richtlijn vallen dienen daarom uiterlijk 17 oktober 2024 te voldoen aan de voorwaarden.

Reikwijdte van de NIS 2 richtlijn

De reikwijdte van de NIS2 Richtlijn is opgenomen in artikel 2. Wie er onder de NIS-richtlijn vallen is reeds in NIS 1 in 2016 gepubliceerd. Het betreft:

• banken,
• zorgverleners,
• leveranciers van water en energie,
• digitale serviceproviders,
• Cloud aanbieders
• en online marktplaatsen en de transportsector.

Deze groep wordt in de NIS 2 richtlijn uitgebreid waardoor de volgende groepen hier ook onder vallen:

• telecombedrijven,
• sociaal media platforms
• en publieke administratie (gemeentes en provincies).

In de NIS 2 worden er twee categorieën onderscheiden, de essentiële leveranciers en de belangrijke entiteiten. De essentiële leveranciers, zoals zorgverleners, transport en water en energie zullen actief worden gemonitord. De belangrijke entiteiten zoals postbezorgers, digitale serviceproviders, accountantskantoren en producenten van belangrijke stoffen worden gecontroleerd op basis van incidenten/activiteit. Wat een essentiële leverancier is of een belangrijke entiteit is afhankelijk van de impact die het bedrijf of het product heeft op de gemeenschap, de EU. Onder essentieel is in ieder geval te scharen, energie en water leveranciers, banken, transportindustrie, zorgindustrie en pharma. Bij belangrijke entiteiten is de maatstaf een middelgroot bedrijf dat bij een cyberaanval niet per se serieuze economische of maatschappelijke problemen zal leiden, denk aan universiteiten, marktplaatsen als Bol.com etc.

De sectoren waar het om gaat zijn: energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie, en digitale aanbieders.

De NIS2 heeft daarbij de mogelijkheid om de reikwijdte in te perken weggenomen bij de lidstaten. Dit betekent dat al vaststaat dat bij middelgrote bedrijven (minder dan 250 werknemers en een jaarlijks omzet van niet meer dan 50 miljoen en/of een jaarrekening van niet meer dan 43 miljoen) en grote entiteiten actief in de genoemde sectoren zijn gedwongen om te voldoen aan de veiligheidsvoorschriften die hierna worden besproken.

Minimale eisen

De NIS2 heeft 7 elementen die alle bovengenoemde bedrijven moeten implementeren, ongeacht een
proactieve monitoring of op incident gebaseerde monitoring. Hieronder valt in ieder geval het volgende:

• Risicoanalyse;
• Beveiligingssystemen;
• Beleid om te reageren op incidenten;
• Bedrijf continuïteit en crisismanagement;
• “Supply chain” beveiliging;
• Analyse van het effect crisismanagement; en
• Het onthullen van de kwetsbaarheid van de cryptische code.

Deze genoemde elementen zullen allen moeten worden uitgevoerd en op aanvraag kunnen worden getoond. Bij een incident zal het bedrijf binnen 24 uur een incident rapport overleggen en binnen 1 maand een volledig rapport, van waar de lekken zaten en hoe groot de lek is. Op grond van artikel 20 lid 2 zullen bestuursleden trainingen moeten doen en hun personeel ook trainingen laten volgen.

Gevolgen

De NIS2 heeft een minimale lijst van administratieve sancties die zullen worden opgelegd, wanneer de
bovenstaande regels zijn overtreden. Hieronder vallen bindende instructies om de beveiliging aan te scherpen, verplichting om een beveiligingsaudit uit te laten voeren en de NIS-regels door uit te laten voeren, er worden ook boetes opgelegd tot 10 miljoen euro of tot 2% van de totale jaaromzet, afhankelijk van welk van de twee het hoogst is. Op grond van artikel 20, is bepaald dat het bestuur aansprakelijk te houden is, wanneer zij de voorschriften niet overzien en nalevend laten uitvoeren.

Conclusie

Gelet op het bovenstaande volgt dat de implementering van de NIS 2 Richtlijn in volle gang is en vanaf 18 oktober 2024 zal worden gehandhaafd. Het heeft als doel de cyberbeveiliging binnen de EU te versterken en een eensgezind en sterk front te creëren tegen cyberaanvallen. Hiervoor dwingt zij essentiële en belangrijke bedrijven zich te houden aan de 7 elementen. Zij gelooft dat die zullen leiden tot een sterke beveiliging tegen cyberaanvallen.

Een van deze elementen is het monitoren/managen van de “supply chain” om ervoor te zorgen dat er in die keten geen sprake is van een risico. Dit specifieke element zorgt ervoor dat ook bedrijven die niet direct onder de reikwijdte vallen, indirect te maken krijgen met de richtlijn. Om met de essentiële en belangrijke bedrijven te werken zullen ook zij zich conform de richtlijn moeten beveiligen.

Wellicht het meest vooruitstrevend en schokkend in de richtlijn is dat de bestuurdersaansprakelijkheid direct uit de richtlijn volgt. Bestuurders van een essentieel of belangrijk bedrijf kunnen persoonlijk aansprakelijk worden gehouden voor het verzaken om te voldoen aan de richtlijnen. Onder hun plicht valt het laten uitvoeren van de analyse en de cyberbeveiliging te monitoren, tevens het volgen van trainingen en trainingen geven aan haar personeel. Door aan deze inspanningsverplichting te voldoen zal de bestuurder worden gevrijwaard van bestuurdersaansprakelijkheid. De boete die het bedrijf kan worden opgelegd blijft echter staan
als er toch niet is voldoen aan de voorschriften.

De richtlijn zal uiterlijk op 17 oktober 2024 door alle lidstaten moeten zijn geïmplementeerd en verder zijn uitgewerkt in de nationale wetgeving. De volgende elementen uit de richtlijn zijn echter al vastgezet en zijn niet aan interpretatie of implementatie hevig;

• De reikwijdte van de omgeving (welke bedrijven en sectoren onder de richtlijn vallen);
• De 7 elementen (beveiligingsvoorschriften) waaraan moet worden voldaan;
• De voorschriften en naleving daarvan zullen worden gemonitord door een EU-instantie (CYCLONe); en
• De gevolgen voor het niet naleven van de voorschriften, een boete van 10 miljoen of 2% van de omzet en bestuurdersaansprakelijkheid. Nu een groot deel van de wetgeving eigenlijk is vastgezet en het juist de bedoeling is dat er een Europees front wordt opgericht, door het delen van ervaringen en oplossingen, acht ik de kans klein dat er (veel) grote en belangrijke afwijkingen zullen zijn.