Cybersecurity is een onderwerp dat al vele jaren veelvuldig in het nieuws is en vaak zelfs op de voorpagina’s. Cybersecurity kan worden omschreven als het beschermen en beveiligen van computers, netwerken, programma’s en gegevens tegen digitale aanvallen en vormt vandaag de dag één van de grootste risico’s voor burgers en bedrijven. In de digitale zakelijke wereld waarin we leven, geldt dat elk bedrijf in enige mate (bewust of onbewust) met dit onderwerp bezig is. Het online goed beschermen van jouw bedrijf en alles wat daarmee te maken heeft is echt noodzakelijk geworden. Maar stel dat je als bestuur van een onderneming onvoldoende doet met betrekking tot dit onderwerp; je laat het een beetje links liggen en je sluit bijvoorbeeld ook geen cyberverzekering af. Kan dergelijk handelen en nalaten leiden tot bestuurdersaansprakelijkheid? Lees het hieronder verder.
Cybersecurity en ondernemen
Bestuurders van ondernemingen (of anders gezegd de directie) hebben een grote mate van beleidsvrijheid bij het besturen van “hun” onderneming. Dit moet eigenlijk ook wel, anders wordt ondernemen erg lastig. Ondernemen is nu eenmaal risico nemen. In onze blog van 10 maart 2015 hebben wij vermeld dat het feit dat achteraf een bepaald besluit van een bestuurder of een bepaalde keuze niet gelukkig is geweest, niet direct leidt tot aansprakelijkheid van deze bestuurder. De hoofdregel is dan ook dat wanneer een vennootschap tekortschiet in de nakoming van een verbintenis (of een onrechtmatige daad pleegt), alleen de onderneming aansprakelijk is voor de daaruit voortvloeiende schade en niet de bestuurders. Maar dat deze hoofdregel uitzondering kan lijden, is in bestuurdersland ook algemeen bekend.
Dat gezegd hebbende, geldt dat het bestuur de (mogelijke) risico’s voor de onderneming moet herkennen en daarop moet inspelen. Cyberrisico’s vallen hier hoe dan ook onder en het bestuur zal daar een actief beleid op moeten (uit)voeren. Het is geen optie om dit onderwerp een beetje links te laten liggen. Althans, dan loopt niet alleen de onderneming risico’s, maar het bestuur zelf ook.
Bestuurdersaansprakelijkheid algemeen
Het bestuur is belast met het bepalen van het beleid en de strategie van de onderneming. Het bestuur bestuurt de onderneming. In het verlengde daarvan ligt verantwoordelijkheid voor het beleid inzake bedrijfsrisico’s van de onderneming. In artikel 2:9 BW is bepaald dat bestuurders ten opzichte van (jegens) de vennootschap gehouden zijn hun taak behoorlijk te vervullen (interne bestuurdersaansprakelijkheid). Uit vaste rechtspraak van de Hoge Raad volgt dat om als bestuurder persoonlijk aansprakelijk gehouden te worden, vereist is dat de bestuurder persoonlijk een ernstig verwijt gemaakt kan worden. Pas dan heeft een bestuurder zijn taak niet behoorlijk vervuld. Dit volgt uit het ‘moederarrest’ van de Hoge Raad, HR Staleman/Van de Ven. Een ernstig verwijt is een bestuurder niet zomaar te maken. Voorkomen dient immers te worden dat bestuurders zich door defensieve overwegingen laten leiden: ondernemen is risico nemen. Vervolgens is deze overweging herhaald in het bekende arrest HR Ontvanger/Roelofsen. Uit dit laatste arrest volgt ook dat het ernstig verwijt criterium zowel voor artikel 2:9 BW geldt alsmede voor aansprakelijkheid uit hoofde van de onrechtmatige daad (artikel 6:162 BW).
Externe bestuurdersaansprakelijkheid is de aansprakelijkheid van een bestuurder jegens een derde anders dan de vennootschap zelf. Men spreekt over externe bestuurdersaansprakelijkheid als een individuele bestuurder een onrechtmatige daad pleegt jegens de schuldeiser. De bestuurder moet een voldoende ernstig verwijt kunnen worden gemaakt. Het is daarom vereist dat ook de overige eisen van onrechtmatige daad is voldaan:
- de onrechtmatige daad kan aan de bestuurder worden toegerekend; en
- de schade van de schuldeiser vloeit voort uit het handelen of nalaten van die bestuurder.
In een recente blog zijn wij ingegaan op het beroemde Beklamel-arrest waarin een grondslag voor onrechtmatig handelen is aangelegd. De bestuurder die bij het aangaan van de overeenkomst als bestuurder van een vennootschap wist of redelijkerwijze behoorde te begrijpen, dat die vennootschap niet, of niet binnen een redelijke termijn, aan haar verplichtingen zou kunnen voldoen en geen verhaal zou bieden voor de schade die de crediteur ten gevolge van die wanprestatie zou lijden. In het kort: een bestuurder die namens de onderneming een overeenkomst aangaat waarvan hij weet of moet begrijpen dat de onderneming niet aan haar verplichtingen zal kunnen voldoen, handelt onrechtmatig jegens de wederpartij. Zie hierna de link voor de recente Beklamel-blog:
https://www.legal8.nl/oud-maar-goud-bestuurdersaansprakelijkheid-en-beklamel-arrest/
Bestuurdersaansprakelijkheid bij cybersecurity-schade
Naar de algemene mening behoort een effectieve aanpak van cyberrisico’s tot de taak van het bestuur van de onderneming. Nu hoeft het bestuur zich niet meteen om te laten scholen tot IT-specialisten, maar zij moeten de cyberrisico’s wel adresseren en daarop toezicht houden. Er dient ook een cyberbeleid gemaakt en uitgevoerd te worden. Mocht het helaas toch misgaan, dan kunnen wel degelijk vragen gesteld worden omtrent cybersecurity. Was de onderneming immers wel voldoende voorbereid op een cyberaanval? Had de onderneming wel de juiste (of adequate) beveiligingsstandaard en hoe hebben de bestuurders ter zake gehandeld? Het is absoluut niet ondenkbaar dat bestuurders succesvol aansprakelijk gesteld worden voor schade vanwege onvoldoende cybersecurity. Dit speelt ook in het kader van datalekken. Als een bestuurder op de hoogte is van een datalek, maar daar niets mee doet en er volgt bijvoorbeeld een boete voor de onderneming, dan zou de onderneming de bestuurder persoonlijk kunnen aanspreken voor de schade.
In de praktijk zal het vaak niet zo zwart-wit zijn. Het is ingeval van cybersecurity vaak niet zo eenvoudig om te beoordelen wie er schuldig is als er iets misgaat in de digitale wereld. Er is niet altijd duidelijk bewijs en de technische aard van cyberdreigingen maakt het ingewikkeld. Je kunt als onderneming ook niet alle criminelen buiten houden; zij lopen doorgaans een stapje voor. Daarom is het belangrijk om te begrijpen wie er verantwoordelijk is en welke inspanningen bestuurders doen om risico’s te verminderen en een bedrijfscultuur van cybersecurity te bevorderen. Als het bestuur kan aantonen dat ze er in redelijkheid voldoende aan gedaan hebben, dan zal het in de regel niet snel tot bestuurdersaansprakelijkheid komen.
NIS-richtlijnen
Mogelijk heb je wel eens gehoord van de NIS-richtlijn (NIS staat voor ‘Netwerk- en informatiesystemen’). En dan heb je waarschijnlijk ook gehoord van de NIS2-richtlijn. De NIS-richtlijn komt uit 2016 en de NIS2-richtlijn is de opvolger daarvan en vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten, maar behelst ook strengere eisen dan zijn voorganger. Zie bijvoorbeeld:
https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/
Als een bedrijf faalt in het beschermen van zijn digitale infrastructuur en dit leidt tot financiële schade, dan geldt voor bedrijven die onder de Europese NIS2-richtlijn vallen dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor bewezen nalatigheid. Dat is dus een aanzienlijk risico.
Overigens noemen we de NIS in het Nederlandse recht de Wet Beveiliging netwerk- en informatiesystemen. De NIS2 is van toepassing op alle middelgrote en grotere ondernemingen uit de sectoren zoals die in de bijlagen I en II van de NIS2-richtlijn zijn opgenomen. De NIS2 richt zich in beginsel op organisaties die als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/ of een omzet van meer dan € 10 miljoen per jaar. Dit betekent dat een groot deel van het MKB hier niet direct mee te maken heeft. Maar voor specifieke diensten en activiteiten kan ook een klein bedrijf binnen de kaders van NIS2 vallen.
De Europese NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. In Nederland zal de Wet beveiliging netwerk- en informatiesystemen hiervoor aangepast worden. Daar zal ongetwijfeld spoedig meer duidelijkheid over komen. Via de onderstaande website van de Rijksoverheid kun je met de NIS2 aan de slag om goed voorbereid te zijn:
https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Cyberverzekering
Een adequate cyberverzekering is heden ten dage geen overbodige luxe meer. Een cyberverzekering dekt tegen gevolgen van hacks, digitale diefstal maar ook andere vormen van cybercriminaliteit. Ons advies aan bestuurders is om hier mee aan de slag te gaan en/of te checken of de huidige polis nog voldoet. Wellicht is het verzekeren van bestuurdersaansprakelijkheid in dat kader ook een optie. Let goed op de voorwaarden en wat er wel en niet gedekt is.
Hoewel er in de rechtspraak nog weinig voorbeelden zijn van bestuurders die aansprakelijk worden gehouden voor niet-adequate cybersecurity-maatregelen, is onze verwachting dat dit op korte termijn steeds vaker wel het geval gaat zijn. Wees er als bestuurder dus op voorbereid!
Juridisch advies cybersecurity
Neem vooral contact met ons op. Wij kunnen vrijblijvend bekijken wat wij voor je kunnen betekenen.
