Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018, is er een stortvloed aan nieuwe regelgeving vanuit de Europese Unie gekomen die data en technologie reguleren. Dit maakt deel uit van het programma “A Europe Fit for a Digital Age”. Specifieke wetten rond digitale beveiliging, zoals NIS2, DORA (Digital Operational Resilience Act), en de Cyber Resilience Act, worden nu ingevoerd. Deze wetten richten zich voornamelijk op sectoren die cruciaal zijn voor de infrastructuur en de samenleving.

De NIS2-richtlijn breidt de reikwijdte van verplichte beveiligingseisen uit tot een breder spectrum van organisaties. De richtlijn categoriseert entiteiten in essentiële en belangrijke entiteiten, afhankelijk van hun grootte en de sector waarin ze opereren. Interessante sectoren hierin zijn energie, vervoer, bankwezen en digitale infrastructuur. De richtlijn stelt dat bedrijven zelf verantwoordelijk blijven voor het treffen van maatregelen en dat er ook toezicht is vanuit de overheid.

Verplichtingen en sancties

De NIS2-richtlijn legt een zorgplicht en een meldplicht op aan de betrokken bedrijven. De zorgplicht vereist dat bedrijven passende technische, operationele en organisatorische maatregelen treffen om risico’s te beheersen, incidenten te voorkomen en de impact ervan te beperken. De meldplicht stelt dat significante incidenten binnen een etmaal gemeld moeten worden, met vervolgmeldingen binnen 72 uur en een eindmelding binnen een maand. Toezicht kan proactief en reactief zijn, en toezichthouders kunnen IT-audits afdwingen. De maximale boetes voor niet-naleving kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet, afhankelijk van welke hoger is.

De rol van de commissaris

Bestuurders moeten onder de NIS2-richtlijn niet alleen de maatregelen goedkeuren, maar ook actief controleren op naleving. Ze zijn verplicht om zich te laten opleiden om hun rol effectief te vervullen en om werknemers aan te moedigen dezelfde training te volgen. Het niet voldoen aan deze eisen kan leiden tot persoonlijke boetes en zelfs schorsing van bestuurders.

Cyberrisicomanagement is inmiddels een integraal onderdeel van enterprise risk management en niet langer een pure IT-kwestie. Het dreigingslandschap is dynamisch en organisaties moeten continu hun maatregelen aanpassen. Om hun verantwoordelijkheid te nemen is het voor commissarissen essentieel om regelmatig het bestuur te vragen naar de status van de cybersecuritymaatregelen, externe audits te stimuleren en continu de ontwikkelingen te monitoren. Training van personeel en een duidelijke risicoanalyse zijn cruciaal voor een effectief cybersecuritybeleid. AI en nieuwe technologieën zoals quantum computing vergroten eveneens de complexiteit en het dreigingsniveau.

Het toezicht op cyberveiligheid is geen statisch proces; het vergt continue aandacht en herziening. De NIS2-richtlijn biedt een rigide kader voor IT-beveiliging maar flexibiliteit in implementatie is nodig. Voor de commissaris is het zaak om kritisch blijven, de juiste vragen te stellen en zich niet te laten afschrikken door technische details.