Goed bestuur begint bij goed geïnformeerd zijn

ICT-systemen zijn voor veel bedrijven en instellingen essentieel, dat weet de EU ook. Een ICT-gerelateerd incident heeft al snel significante sociale en economische gevolgen. Vanwege de toenemende afhankelijkheid van ICT, en een toename van de cyberdreigingen, poogt de EU met steeds verdergaande wetgeving bedrijven en instellingen weerbaarder te maken voor dreigingen op cybergebied. Voorbeelden van deze wetgeving zijn: 

• Algemene verordening gegevensbescherming (AVG): de bekende privacyregels. 
• Network and Information Security richtlijn (NIS2): cybersecurityregels voor ondernemingen in kritieke sectoren. 
• Digital Operational Resilience Act (DORA): cybersecurityregels voor financiële ondernemingen. 
• I Verordening: regelgeving voor de ontwikkeling en het gebruik van AI-systemen. 
• Cyber Resilience Act (CRA): cybersecurityeisen aan hardware en software producten. 

Op het eerste gezicht lijkt deze wetgeving uitsluitend op bedrijven en instellingen zelf te zien. Een bestuurder die dat denkt, vergist zich. De wet- en regelgeving kan ook gevolgen hebben voor de persoonlijke positie van bestuurders. Om dat uit te leggen, nemen we eerst een duik in het leerstuk van bestuurdersaansprakelijkheid. Vervolgens staan we stil bij enkele concrete verplichtingen uit de recente EU-wetgeving die belangrijke gevolgen hebben voor de positie van bestuurders. Wij ronden af met een aantal voorbeelden uit de praktijk. 

Het bestuur is collectief verantwoordelijk voor de uitvoering van de bestuurstaak en in principe dus ook collectief persoonlijk aansprakelijk. Het is aan een individuele bestuurder om aan te tonen dat hem in een concreet geval geen ernstig verwijt valt te maken. Het enkele feit dat cybersecurity in de onderlinge taakverdeling bij een andere bestuurder is neergelegd, doorgaans de chief information security officer (CISO), is op zichzelf onvoldoende om aansprakelijkheid te ontlopen. 

Verplichtingen bestuurders 

De nieuwe wetgeving verlangt van bestuurders dat zij kennis hebben van digitale diensten, ICT en, meer recent, AI, en dat zij actief op deze onderwerpen sturen. De beheersing van risico’s op het gebeid van ICT en cybersecurity zijn dus steeds meer een onderdeel geworden van de ‘behoorlijke taakvervulling’ door het bestuur. De focus ligt op bewustwording van de risico’s die een bedrijf op dat gebied loopt en het op orde brengen van de interne organisatie en governance. De DORA en NIS2 maken daarvan expliciet een taak én verantwoordelijkheid voor het bestuur. Het bestuur kan zich niet langer verschuilen achter een IT-afdeling of haar eigen onwetendheid, in tegendeel. 

Concrete voorbeelden zijn: 

• Het bestuur moet beschikken over voldoende kennis en vaardigheden om ICT-risico's te kunnen identificeren en beheersen; (Artikel 20 lid 2 NIS2 en Artikel 5 lid 4 DORA.)
• Het bestuur moet regelmatig opleidingen volgen over ICT-risicobeheersing; (Artikel 20 lid 2 NIS2 en Artikel 5 lid 4 DORA.)
• Het bestuur moet zorgdragen voor AI-geletterdheid van medewerkers die met AI-systemen werken; (Artikel 9 lid 5 AI Verordening)
• Het bestuur moet het informatiebeveiligingsbeleid goedkeuren; (Artikel 20 lid 1 NIS2 en Artikel 5 lid 2 DORA.)
• Het bestuur moet toezien op implementatie van het informatiebeveiligingsbeleid. (Artikel 20 lid 1 NIS2 en Artikel 5 lid 2 DORA.) 

Opleidingen 

Om op een goede manier uitvoering te kunnen geven aan voornoemde verplichtingen, dienen de leden van het bestuur bovendien te beschikken over voldoende kennis en vaardigheden op het gebied van ICT. Het gaat hierbij niet noodzakelijkerwijs om technische kennis van ICT, maar wel om kennis van de dreigingen die er zoal zijn op het gebied van cyber, de technische en organisatorische maatregelen die je als organisatie kunt treffen om je te beschermen tegen die dreigingen en de wijze waarop je risicoanalyses maakt en stuurt op het onderwerp digitale weerbaarheid. 

Om het belang van voldoende kennis en vaardigheden bij het bestuur verder te onderstrepen, wordt aan de leden van het bestuursorgaan de verplichting opgelegd om aantoonbaar opleidingen te volgen op het gebied van ICT-risicobeheersing. Een dergelijke verplichting lijkt een Europese trend te zijn. Zo is die verplichting tot opleiding bijvoorbeeld terug te vinden in de AI-verordening (art. 4), de NIS2-richtlijn (art. 20 lid 2) en de DORA (art. 5 lid 4). Door middel van een certificaat kunnen bestuurders aantonen dat zij aan hun opleidingsverplichting hebben voldaan. 

Verzwaarde zorgplicht 

Deze en andere verplichtingen leiden ertoe dat bestuurders in de praktijk te maken krijgen met een verzwaarde zorgplicht om ICT-risico's te beheersen. Het ontbreken van passende beheers- en controlesystemen, of het (structureel) niet voldoen aan opleidingsverplichtingen, kan resulteren in een ernstig verwijt en daarmee bestuurdersaansprakelijkheid. Een verstandige bestuurder zorgt er dus voor dat hij of zij aan de opleidingsverplichtingen voldoet, dat er een deugdelijk ICT-beleid is geïmplementeerd én dat de bestuurdersaansprakelijkheidsverzekering op orde is. 

In de Verenigde Staten loopt men vaak voorop en daar zijn al talloze rechtszaken gevoerd tegen bestuurders vanwege cyberaanvallen. Voorbeelden zijn procedures na de aansprakelijkstelling van de bestuurders van bijvoorbeeld Target, Home Depot, Wendy’s en Yahoo. In het geval van Home Depot heeft dit geresulteerd in een schikking om een vonnis af te wenden. Onderdeel van de schikking was dat Home Depot alsnog maatregelen zou nemen om de cybersecurity te verbeteren. 

Het lijkt slechts een kwestie van tijd voordat ook in Nederland bestuurders rechtstreeks aansprakelijk worden gesteld bij cyberincidenten. In dat kader mag niet onvermeld blijven dat het sinds de inwerkingtreding van de WAMCA in 2020, in Nederland mogelijk is om collectief schadevergoeding te vorderen. Dit heeft de laatste jaren geleid tot diverse massaclaims voor o.a. overtredingen van de AVG, al dan niet in verband met datalekken. Het is goed denkbaar dat er in de nabije toekomst massaclaims gaan volgen tegen organisaties die hun digitale weerbaarheid niet op orde hadden, en dat bestuurders in die procedures worden betrokken. 

Niet simpel 

Het moge duidelijk zijn dat de druk op bestuurders vanuit diverse richtingen toeneemt om toegerust te zijn voor de uitdagingen in het digitale domein. Nieuwe EU wet- en regelgeving introduceert nieuwe verplichtingen, met specifieke verantwoordelijkheden voor het bestuur, die bij schending kunnen leiden tot bestuurdersaansprakelijkheid. Bestuurders dienen zich te realiseren dat zij niet simpelweg aan alle wet- en regelgeving kunnen voldoen door hun ICT onder te brengen bij professionele partijen; ook dan moeten zij zelf het ICT-risico in kaart brengen, beleid goedkeuren, toezien op de implementatie daarvan, passende contractuele afspraken maken met die ICT-leveranciers en relevante opleidingen volgen, om zo bestuurdersaansprakelijkheid te voorkomen.