Aansprakelijkheid IT- incident of cyberincident.
25 juni 2024 om 10:15
In het huidige digitale tijdperk wordt de bedrijfsvoering steeds afhankelijker van informatietechnologie. Dit brengt niet alleen kansen, maar ook aanzienlijke risico's met zich mee. Veel bestuurders zijn zich echter niet volledig bewust van hun aansprakelijkheid bij IT-incidenten of cyberincidenten. Deze onwetendheid kan ernstige gevolgen hebben voor de continuïteit van de bedrijfsvoering en de reputatie van de organisatie.
De feiten
Bestuurders van organisaties zijn wettelijk verplicht om zorg te dragen voor een adequate beveiliging van informatiesystemen. Dit omvat het implementeren van passende technische en organisatorische maatregelen om de risico's van cyberdreigingen te minimaliseren. De Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Europese NIS2-richtlijn benadrukken de bestuursaansprakelijkheid bij tekortkomingen in cybersecurity.
Uit het Samenhangend Inspectiebeeld 2024 blijkt dat risicomanagement een speerpunt blijft in het toezicht op cybersecurity. Toezichthouders zien echter ruimte voor verbetering op bestuursniveau. Bestuurders dienen zich actief bezig te houden met actuele ontwikkelingen en de effectiviteit van risicomanagementsystemen regelmatig te laten beoordelen.
Bij een IT-incident of cyberaanval kunnen de gevolgen voor de bedrijfsvoering en reputatie enorm zijn. Denk aan datalekken, verlies van bedrijfsgevoelige informatie, financiële schade, en verstoring van kritieke bedrijfsprocessen. In het ergste geval kan een incident leiden tot juridische aansprakelijkheid van de bestuurders persoonlijk, vooral als blijkt dat zij nalatig zijn geweest in hun zorgplicht.
De beoordeling
Het inspectiebeeld toont aan dat hoewel er vooruitgang is geboekt in het bewustzijn en de implementatie van cybersecuritymaatregelen, er nog tekortkomingen bestaan in de effectiviteit van risicomanagement en incidentrespons.
Toename van cyberdreigingen: Het rapport onderstreept de groeiende complexiteit en frequentie van cyberaanvallen, wat een verhoogde druk legt op organisaties om hun beveiligingsmaatregelen te verbeteren.
Tekortkomingen in risicomanagement: Ondanks de beschikbaarheid van geavanceerde beveiligingstechnologieën, blijft de effectiviteit van risicomanagementsystemen achter. Veel organisaties missen een totale benadering om cyberrisico's proactief te identificeren en te verminderen.
Verantwoordelijkheid van Bestuurders: Het document benadrukt dat bestuurders vaak onvoldoende betrokken zijn bij cybersecuritykwesties, wat de kwetsbaarheid van organisaties vergroot. Er is een duidelijke behoefte aan verbeterde governance en accountability op bestuursniveau.
Op basis van de bevindingen van het Samenhangend Inspectiebeeld 2024 zijn er enkele aanbevelingen voor beleidsmakers en organisaties:
Versterk bestuurlijke betrokkenheid: Bestuurders moeten actief worden betrokken bij cybersecuritybeleid en -praktijken. Training en bewustwordingsprogramma's kunnen helpen om hun kennis en betrokkenheid te vergroten.
Stimuleer sectorspecifieke samenwerking: Overheidsinstanties en sectoren moeten nauwer samenwerken om kennis en best practices te delen. Dit kan bijdragen aan een meer veerkrachtige en gecoördineerde verdediging tegen cyberdreigingen.
Ondersteun implementatie van standaarden: Organisaties moeten worden aangemoedigd en gefaciliteerd om internationale beveiligingsstandaarden zoals ISO 27001 te implementeren. Dit kan onder meer door financiële steun en technische begeleiding.
Wat kunt u doen?
Bestuurders dragen een grote verantwoordelijkheid bij de bescherming van de informatiebeveiliging binnen hun organisatie. Het niet naleven van deze verantwoordelijkheid kan leiden tot ernstige gevolgen, zowel voor de organisatie als persoonlijk voor de bestuurders. Door het uitvoeren van een privacy- en informatiebeveiligingsaudit en het implementeren van ISO 27001 kunnen organisaties hun beveiligingspositie versterken en de risico's van IT- en cyberincidenten aanzienlijk verminderen. Het is van cruciaal belang dat bestuurders actie ondernemen en niet wachten tot nieuwe wetgeving van kracht is.
Met de juiste maatregelen en bewustwording kunnen bestuurders niet alleen hun organisatie beschermen tegen cyberdreigingen, maar ook voldoen aan hun wettelijke verplichtingen en de veerkracht van hun bedrijf waarborgen.
Wat kan SVC voor u doen?
Privacy- en informatiebeveiligingsaudit. Een audit helpt organisaties om inzicht te krijgen in de huidige staat van hun informatiebeveiliging. Het identificeert zwakke punten en biedt concrete aanbevelingen voor verbetering. Dit proces zorgt ervoor dat bestuurders zich bewust worden van de risico's en de noodzakelijke maatregelen om deze aan te pakken.
Implementatie van ISO 27001. Dit is een internationaal erkende standaard voor informatiebeveiliging. Het biedt een raamwerk voor het opzetten, implementeren, beheren en voortdurend verbeteren van een informatiebeveiligingsmanagementsysteem (ISMS). De implementatie van ISO 27001 helpt organisaties om systematisch en proactief hun informatiebeveiligingsrisico's te beheren en voldoet aan de eisen van zowel nationale als internationale regelgeving.
SVC Groep heeft een Privacy- en informatiebeveiligingsaudit ontwikkeld die u inzicht geeft waar de risico’s liggen binnen uw onderneming met betrekking tot onder andere de Algemene verordening gegevensbescherming (AVG), Principes voor informatiebeveiliging van de AFM en Telecommunicatiewet (cookies). Daarnaast kan SVC groep helpen met het implementeren van ISO 27001. Voor meer informatie over de mogelijkheden van onze audit en de kosten daarvan kan u contact opnemen door een e-mail te sturen aan: compliance@svcgroep.nl of te bellen naar: 033 – 433 15 57
