Tonya Aelbrecht en David Haex – Op 17 mei 2024 werd de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk-en informatiesystemen van algemeen belang voor de openbare veiligheid (“NIS2 Wet”) gepubliceerd in het Belgisch Staatsblad. Deze wet implementeert de EU richtlijn 2022/2555 en vervangt de bestaande cyberbeveiligingswet van 7 april 2019 (“NIS1 Wet”). De inwerkingtreding is voorzien op 18 oktober 2024.
Het doel van de wet is om de cyberbeveiligingsmaatregelen, incidentenbeheer en het toezicht op entiteiten te versterken. Financiële sancties voor inbreuken op de NIS2 Wet kunnen oplopen tot 2% van de wereldwijde omzet van de betrokken entiteit. De wet introduceert ook enkele bijzondere gevallen van bestuurdersaansprakelijkheid.
De NIS2 Wet is van toepassing op “essentiële” en “belangrijke” entiteiten die diensten verlenen of activiteiten uitoefenen in de EU in kritieke sectoren opgesomd in de NIS2 Wet én die een bepaalde omvang hebben. Volgende omvangscriteria zijn van toepassing: minstens 250 personeelsleden of een jaaromzet van meer dan 50 miljoen euro (of balanstotaal meer dan 43 miljoen euro) voor “essentiële” entiteiten en minstens 50 personeelsleden of een jaaromzet (of balanstotaal) van meer dan 10 miljoen euro voor “belangrijke” entiteiten, berekend op basis van de Aanbeveling EU 2003/361. Belangrijk hierbij is dat de NIS2 Wet een ruimer toepassingsgebied heeft dan de NIS1 Wet. Nieuwe sectoren (zoals onder andere onderzoek en ontwikkeling m.b.t. geneesmiddelen, farmaceutische basisproducten en medische hulpmiddelen, ICT beheersdiensten, productie, verwerking en distributie van levensmiddelen) en zelfs KMO’s kunnen onderworpen zijn aan de nieuwe verplichtingen. Bovendien zijn sommige entiteiten onderworpen aan de NIS2 Wet, ongeacht hun omvang.
Volgens art. 30 van de NIS2 Wet moeten de betrokken entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheren en om incidenten te voorkomen of de gevolgen ervan te beperken. Het “bestuursorgaan” keurt deze maatregelen goed, ziet toe op de uitvoering ervan en is aansprakelijk voor inbreuken (art. 31 NIS2 Wet). De bestuurders zijn ook verplicht om een cyberbeveiligingsopleiding te volgen.
Daarnaast zijn “natuurlijke personen die verantwoordelijk zijn voor of optreden als wettelijk vertegenwoordiger van een essentiële of belangrijke entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle over deze entiteit uit te oefenen” aansprakelijk voor de schending van de algemene plicht om te zorgen voor naleving van de NIS2-wet (art. 61 NIS2 Wet).
Het is onduidelijk hoe de aansprakelijkheid voor bestuurders en andere verantwoordelijke personen onder de NIS2 Wet zich verhoudt tot het bestuurdersaansprakelijkheidsregime van artikel 2:56 WVV en de aansprakelijkheidsbeperking van werknemers op basis van artikel 18 van de Arbeidsovereenkomstenwet.
Gezien het verruimde toepassingsgebied en de mogelijke financiële sancties, doen ondernemingen er goed aan na te gaan of ze onder de NIS2 Wet vallen. De verantwoordelijkheid van leden van het bestuursorgaan en andere verantwoordelijke personen van een onderneming voor wat betreft cyberbeveiliging is aanzienlijk verscherpt onder de NIS2 Wet en kan leiden tot persoonlijke aansprakelijkheid.
