Inleiding
In de digitale wereld krijgen organisaties steeds vaker te maken met cyberdreigingen. Met de komst van de NIS 2 richtlijn wordt de verantwoordelijkheid van bestuurders om voor goede cyberbeveiliging te zorgen steeds belangrijker. Als ze daarin tekortschieten, kunnen ze persoonlijk aansprakelijk worden gesteld. In dit artikel wordt de bestuurdersaansprakelijkheid van de NIS 2 besproken. Daarnaast wordt de bestuurdersaansprakelijkheid binnen het huidige burgerlijk recht en strafrecht ook behandeld. Hieruit zal blijken dat de tendens om bestuurders aansprakelijk te stellen over verschillende rechtsgebieden aan het toenemen is.
NIS 2
De NIS 2-richtlijn (Network and Information Security directive) is wetgeving van de Europese Unie om het cyberbeveiligingskader van de lidstaten te versterken. Het legt de nadruk op het verbeteren van de veiligheid en veerkracht van essentiële netwerk- en informatiesystemen door strengere eisen te stellen aan organisaties. Naleving is van cruciaal belang voor organisaties, handhaving wordt namelijk versterkt. Sancties betreffen boetes die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Ook kunnen onder de NIS-2 bestuurders persoonlijk aansprakelijk worden gesteld voor de weerbaarheid van de organisatie.
De NIS 2 is van toepassing op organisaties in de EU met minimaal 50 werknemers en/of tenminste een jaaromzet 10 miljoen euro binnen de volgende sectoren:
1. Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart.
2. Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek.
De Europese NIS 2 Richtlijn wordt in Nederland in de vorm van de Cyberbeveiligingswet (Cbw) geïmplementeerd. Het wetsvoorstel moet nog worden afgerond en besproken en geaccordeerd in de Tweede Kamer en de Eerste Kamer. Naar verwachting is de wet in het derde kwartaal van 2025 van kracht.
NIS 2 en bestuurdersaansprakelijkheid
De NIS 2 introduceert persoonlijke aansprakelijkheid voor bestuurders op het gebied van cyberveiligheid (art. 32 lid 6 NIS 2). Dit betekent dat bestuursleden persoonlijk aansprakelijk kunnen worden gesteld als een bedrijf niet voldoet aan de NIS 2 en er door een cyberaanval schade plaatsvindt.
De focus ligt niet alleen op het reageren op bedreigingen, maar gaat uit naar het treffen van preventieve maatregelen die cyberrisico’s minimaliseren. Hier moet onder andere gedacht worden aan goede beveiliging van informatiesystemen en het hebben van beleid en procedures voor risicobeheersing. Daarnaast is er een meldplicht in het geval van een cyberincident. Het gaat hierbij om een twee-fasen-melding waarbij binnen 24 uur na bewustwording van een incident een melding gemaakt moet worden bij de Rijksinspectie Digitale Infrastructuur (RDI, voorheen Agentschap Telecom). Daarnaast moet er binnen een maand een uitgebreid rapport ingediend worden.
Uit art. 20 lid 1 NIS 2 volgt dat bestuursorganen cybersecuritymaatregelen dienen goed te keuren, zij dienen toe te zien op de uitvoering ervan en kunnen aansprakelijk worden gehouden indien de organisatie zich niet aan de beveiligingsplicht houdt. De NIS2 geeft bestuursorganen hiermee een zorgplicht voor het nemen van security-maatregelen waarbij zij ook nog eens aansprakelijk kunnen worden gesteld zodra het mis gaat.
Uit art. 20 lid 2 NIS 2 volgt dat bestuurders trainingen moeten volgen en deze trainingen ook aan hun medewerkers aanbieden. Hiermee dienen het bestuur en de medewerkers voldoende kennis en vaardigheden op te doen om risico’s te herkennen en de cyberbeveiligingsmaatregelen te kunnen beoordelen, evenals de invloed die deze maatregelen hebben op de diensten die de organisatie levert.
Burgerlijk Wetboek en bestuurdersaansprakelijkheid
Op dit moment kennen wij al in het Nederlands recht artikel 2:9 lid 2 BW. Hieruit volgt dat iedere bestuurder hoofdelijk aansprakelijk is voor de schade die voortkomt door onbehoorlijk bestuur, tenzij een bestuurder geen persoonlijk verwijt kan worden gemaakt en hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen van het onbehoorlijk bestuur af te wenden.
In beginsel geldt dat een bestuurder van een vennootschap niet zomaar aansprakelijk kan worden gehouden voor het niet-naleven van verplichtingen die rusten op de vennootschap. Dat is anders als een bestuurder zijn taak onbehoorlijk heeft vervuld én hem een (persoonlijk) ernstig verwijt kan worden gemaakt. Daarvan is niet zomaar sprake blijkt uit jurisprudentie (ECLI:NL:GHARL:2023:5653). Er geldt een hoge drempel voor aansprakelijkheid van een bestuurder.
Strafrechtelijke aansprakelijkheid Ralph Hamers
Zelfs op strafrechtelijk gebied is het gebruik van bestuurdersaansprakelijkheid (als strafrechtelijk begrip!) toegenomen de laatste jaren. Zo blijkt uit voorbeelden met de ING en ABN Amro.
Het gerechtshof heeft in 2020 (ECLI:NL:GHDHA:2020:2347) geoordeeld dat Ralph Hamers vervolgd kan worden als feitelijk leidinggever van de door een rechtspersoon (ING) gepleegde strafbare feiten (art. 51 lid 2 onderdeel 2 Sr). De voormalig topman van ING stelde dat hij niet bewust was van strafbare feiten en dat het niet zijn taak was om in te grijpen, maar dat dit bij ondergeschikten lag. Het gerechtshof oordeelde echter dat ING structureel de regels overtrad en meerdere waarschuwingen had gekregen van de DNB en ECB. Er was al eerder een boete opgelegd vanwege onvoldoende klantonderzoek. Nu blijkt dat ING gebruikt was voor witwaspraktijken, wat volgens het gerechtshof neerkomt op schuldwitwassen. Het Hof concludeerde dat er voldoende aanwijzingen zijn dat de topman, Ralph Hamers, op de hoogte was van de situatie en actief meewerkte aan het beleid dat leidde tot strafbare feiten. Dit bleek uit rapportages die rechtstreeks aan hem werden gemeld over gebreken in dossiers en risico’s. Het gerechtshof is van mening dat hij had moeten ingrijpen en vindt dat vervolging op zijn plaats is. Het wil hiermee een signaal afgeven dat leidinggevenden niet vrijuit mogen gaan en oordeelt dat de vervolging van de topman moet worden doorgezet. Ook oud-bestuursvoorzitter Kees van Dijkhuizen van ABN Amro wordt persoonlijk verdacht in het onderzoek van de OM naar mogelijke overtredingen van de antiwitwaswet.
Conclusie
Het is van cruciaal belang dat organisaties passende maatregelen nemen om bestuurdersaansprakelijkheid te voorkomen. Dit vooral in het licht van de NIS 2, maar zeker ook gezien de reeds geldende verplichtingen van het burgerlijke recht en strafrecht in Nederland. Daarnaast betaalt investeren in robuuste cyberbeveiligingssystemen zich op meerdere manieren terug. Het gaat niet enkel om het beperken van financiële en juridische risico’s. Het nemen van de juiste maatregelen vergroot het vertrouwen van klanten en partners.
De NIS 2, vanaf het derde kwartaal van 2025 in Nederland geïmplementeerd als de Cyberbeveiligingswet, legt de nadruk op cyberbeveiliging en stelt strengere eisen aan bedrijven om hun digitale weerbaarheid te versterken. Bestuurders zijn hierbij niet langer alleen verantwoordelijk voor strategische beslissingen, maar worden ook persoonlijk aansprakelijk gehouden wanneer er sprake is van nalatigheid in het beschermen van cruciale IT-systemen en data.
Om te voldoen aan de NIS 2 en het algehele risico op bestuurdersaansprakelijkheid te verminderen, moeten organisaties investeren in robuuste cyberbeveiligingsmaatregelen en een goed beveiligingsbeleid. Dit omvat niet alleen technologische oplossingen, maar ook het trainen van personeel en het ontwikkelen van een sterke cybercultuur binnen de organisatie. Door proactief te handelen en te voldoen aan de nieuwe eisen, kunnen bestuurders zich beter beschermen tegen juridische gevolgen en tegelijkertijd bijdragen aan een veilige digitale omgeving. Cyberbeveiliging is niet langer een keuze, maar een essentieel onderdeel van verantwoord leiderschap.
