In 2021 werd een grote logistieke onderneming getroffen door een ransomware-aanval. De gevolgen waren enorm: vrachtwagens stonden stil, leveringen liepen vertraging op, en boze klanten eisten compensatie. Toen het stof was neergedaald, volgde een juridische nasleep. Klanten en ketenpartners stelden het bedrijf aansprakelijk voor de schade. De verzekeraar weigerde uit te keren, omdat het bedrijf had verzuimd om basismaatregelen voor cybersecurity te implementeren. De vraag die deze zaak pijnlijk blootlegt: wie draagt de verantwoordelijkheid wanneer de digitale muur instort?
Met de invoering van de NIS-2-richtlijn biedt de Europese Unie een juridisch kader dat organisaties en bestuurders verplicht tot betere voorbereiding. Maar deze regels komen niet zonder uitdagingen.
Het voorbeeld van de logistieke onderneming die werd getroffen door een ransomware-aanval is gebaseerd op een zaak die werd behandeld door het Hof Amsterdam. In deze zaak stelde een bedrijf zijn voormalige IT-leverancier aansprakelijk voor de schade die was ontstaan als gevolg van een ransomware-aanval. Het hof oordeelde dat de IT-leverancier tekort was geschoten in de nakoming van zijn verplichtingen, met name vanwege het ontbreken van een recente en volledige back-up, en werd daarom gedeeltelijk aansprakelijk gehouden voor de geleden schade.
Deze zaak illustreert de juridische complexiteit rondom aansprakelijkheid bij cyberincidenten en benadrukt het belang van adequate cybersecuritymaatregelen en duidelijke afspraken tussen organisaties en hun IT-dienstverleners.
Bestuurdersaansprakelijkheid onder NIS-2
De NIS-2-richtlijn legt een directe verantwoordelijkheid bij bestuurders voor het naleven van beveiligingseisen. Dit betekent dat zij persoonlijk aansprakelijk kunnen worden gesteld als blijkt dat hun organisatie nalatig is geweest in het nemen van adequate maatregelen. De richtlijn gaat daarmee verder dan eerdere wetgeving door bestuurders expliciet aan te wijzen als verantwoordelijke partijen.
Een voorbeeld uit de jurisprudentie in het kader van datalekken onder de AVG laat zien hoe dit in de praktijk kan uitpakken. In een recente zaak kreeg een zorginstelling een boete omdat de beveiliging van patiëntgegevens niet op orde was. De toezichthouder oordeelde dat het bestuur nalatig was in het waarborgen van passende technische en organisatorische maatregelen. NIS-2 trekt deze lijn door naar een bredere reikwijdte van sectoren en legt daarbij een nog zwaardere nadruk op preventieve maatregelen.
Het voorbeeld van de zorginstelling die een boete ontving vanwege onvoldoende beveiliging van patiëntgegevens verwijst naar het Onze Lieve Vrouwe Gasthuis (OLVG) ziekenhuis. In 2021 legde de Autoriteit Persoonsgegevens (AP) het OLVG een boete op wegens het ontbreken van afdoende beveiligingsmaatregelen met betrekking tot patiëntgegevens.
Deze zaak benadrukt het belang van adequate beveiligingsmaatregelen binnen zorginstellingen en de verantwoordelijkheid van bestuurders om te zorgen voor naleving van de Algemene Verordening Gegevensbescherming (AVG).
Vertrouwen in de Keten: Een Juridische Gordiaanse Knoop
Cyberincidenten treffen zelden één partij. De afhankelijkheid binnen ketens maakt dat een zwakke schakel gevolgen heeft voor alle betrokkenen. Dit roept juridische vragen op over aansprakelijkheid. Stel: een cyberaanval op een toeleverancier leidt tot stilstand bij meerdere klanten. Wie is dan verantwoordelijk voor de financiële schade?
NIS-2 verplicht organisaties om transparantie en samenwerking in de keten te bevorderen. Toch zijn er grenzen. Bedrijfsgevoelige informatie kan niet zomaar gedeeld worden zonder juridische garanties. Het is daarom essentieel om contracten zorgvuldig op te stellen en afspraken te maken over aansprakelijkheid, vertrouwelijkheid en informatie-uitwisseling. De richtlijn vereist niet alleen compliance, maar ook een sterke juridische infrastructuur binnen ketens.
De Kritische Rol van Verzekeraars
Verzekeraars spelen een stille maar krachtige rol in de naleving van NIS-2. Steeds vaker wijzen zij schadeclaims af als organisaties niet voldoen aan minimale beveiligingseisen. Dit blijkt uit recente geschillen waarin verzekeraars zich beroepen op een uitsluiting in de polisvoorwaarden: schade ontstaan door nalatigheid in cyberbeveiliging wordt niet gedekt.
Dit leidt tot een juridisch spanningsveld. Organisaties moeten niet alleen voldoen aan de eisen van NIS-2, maar ook aantonen dat zij aan de voorwaarden van hun cyberverzekering voldoen. Voor bestuurders betekent dit een dubbele verantwoordelijkheid: zij moeten toezicht houden op de naleving van de richtlijn én zorgen dat hun verzekeringspolis intact blijft.
Conclusie: De Juridische Implicaties van NIS-2
De NIS-2-richtlijn biedt een stevig juridisch fundament om cyberveiligheid te verbeteren. Maar de praktische implementatie roept belangrijke juridische vragen op. Bestuurders moeten zich bewust zijn van hun persoonlijke aansprakelijkheid en de gevolgen van nalatigheid. Tegelijkertijd vereist de richtlijn nauwere samenwerking binnen ketens, wat juridische spanningen kan opleveren rond vertrouwelijkheid en aansprakelijkheid.
De voorbeeldzaak van de logistieke onderneming is een waarschuwing: wie zijn cybersecurity niet op orde heeft, kan niet alleen rekenen op sancties, maar ook op juridische en financiële complicaties. Met de komst van de Cyberbeveiligingswet is het daarom cruciaal om cybersecurity niet alleen als een technische uitdaging te zien, maar ook als een juridisch speerpunt.
De echte vraag is niet of NIS-2 nodig is, maar hoe goed we ons als organisaties en bestuurders kunnen aanpassen aan deze nieuwe juridische realiteit.
Talha Yilmaz
Advocaat – Compliance Expert
Beantwoord een paar korte vragen om te ontdekken of uw organisatie onder de Cyberbeveiligingswet valt en welke verplichtingen mogelijk van toepassing zijn.
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?