Algemeen wordt aangenomen dat de Engelse en Nederlandse handelsondernemingen uit de 17e eeuw tot de eerste ondernemingen ter wereld behoorden. Deze ondernemingen voeren letterlijk uit om nieuwe kansen te verkennen. Iedere ondernemer wist toen al heel goed wat iedere ondernemer nu nog steeds weet: zonder risico is er geen rendement. Ondernemers moeten dus een zekere mate van risicobereidheid hebben.
In de 17e eeuw behoorden brand, muiterij en de pest tot de grootste bedreigingen voor een succesvolle onderneming. Bovendien was het maatschappelijk geaccepteerd dat een groot deel van de bemanning van het schip zou omkomen of dat het schip geheel zou vergaan. Gelukkig wordt dit tegenwoordig niet gezien als een gezonde mate van risicobereidheid bij bedrijven. Hoewel muiterij en de pest niet langer risico’s zijn waar bestuurders rekening mee moeten houden, zijn daarvoor nieuwe bedrijfsrisico’s in de plaats gekomen. Relatief nieuwe bedrijfsrisico’s zijn vandaag de dag – die jaren geleden ondenkbaar waren – gebrek aan duurzaamheid, reputatieschade en cybercriminaliteit.
De ontwikkeling van cybercriminaliteit als bedrijfsrisico is uitzonderlijk. De vraag is niet óf een entiteit door cybercriminaliteit zal worden getroffen, maar wanneer. Wanneer dat gebeurt, kunnen de ondernemingsactiviteiten (tijdelijk) stil komen te liggen. Daarom moeten bestuurders cybercriminaliteit onderkennen als een van de grootste bedrijfsrisico’s voor de continuïteit van hun onderneming of misschien zelfs wel als het grootste bedrijfsrisico.
Om de cyberweerbaarheid van kritische entiteiten die cruciaal zijn voor het goed functioneren van een moderne westerse samenleving en economie te verbeteren, heeft de Europese Unie op 14 december 2022 de Europese Netwerk- en Informatiebeveiligingsrichtlijn aangenomen (“NIS 2”). NIS 2, als opvolger van de eerste NIS-richtlijn ook bekend als de NIB, heeft de reikwijdte van zeer kritische sectoren (zoals energie, transport en gezondheidszorg) en kritische sectoren (zoals digitale providers, koeriersdiensten en afvalbeheer) verbreed. NIS 2 behoort uiterlijk in oktober 2024 in de nationale wetgeving te worden geïmplementeerd, maar bekend is dat Nederland deze termijn niet zal halen. De belangrijkste taken voor ondernemingen en hun bestuurders onder NIS 2 zijn:
• een plicht om de kritische entiteit als zodanig te registreren
• een zorgplicht die inhoudt dat er een risicobeoordeling wordt uitgevoerd en maatregelen worden genomen om de continuïteit van de dienstverlening zoveel mogelijk te garanderen en de bescherming van de gebruikte informatie te waarborgen
• een meldplicht bij de toezichthouder binnen 24 uur nadat een incident heeft plaatsgevonden
• een plicht om de personen en entiteiten die getroffen zijn als gevolg van het genoemde incident te informeren.
Wanneer de ondernemingen voornoemde taken onder NIS 2 verzaken, kan dat tot bestuurdersaansprakelijkheid leiden. Ook zolang NIS 2 nog niet in de Nederlandse wetgeving is geïmplementeerd of wanneer NIS 2 niet op een onderneming van toepassing is, is cybercriminaliteit een bedrijfsrisico waar elke bestuurder rekening mee moet houden. Van bestuurders wordt namelijk in zijn algemeenheid verlangd dat zij natuurlijk risico’s nemen maar wel in beheersbare proporties en met oog voor de continuïteit van de onderneming.
Wat dat betreft, kan de aansprakelijkheid voor cybercriminaliteit op dezelfde manier worden bestreden als brand of alle andere bedrijfsrisico’s die de onderneming (tijdelijk) kunnen stil leggen. De eenvoudige maar harde regels om dergelijke bedrijfsrisico’s te beheersen zijn (i) het uitvoeren van een risicobeoordeling, (ii) het nemen van passende maatregelen en (iii) het van tijd tot tijd monitoren of de geconstateerde risico’s en genomen maatregelen nog adequaat zijn.