De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.1.3:I.1.1.3 Reactie op digitalisering: instanties en wetgeving

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.1.3

I.1.1.3 Reactie op digitalisering: instanties en wetgeving

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278944:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

Hoewel de risico’s groot zijn, is digitalisering een proces dat, gelet op de grote kansen die het biedt, onomkeerbaar is. Het is daarom belangrijk om die risico’s het hoofd te bieden en het vertrouwen in informatie en informatiesystemen te waarborgen. Om beide aspecten te ondervangen zijn, zeker vanaf 2011, verschillende maatregelen getroffen door de overheid.

Zo is vanaf 2012 het Nationaal Cyber Security Centrum (NCSC) van start gegaan, dat zich richt op de overheid en organisaties in de vitale infrastructuur. De doelstelling van het NCSC is het vergroten van de digitale weerbaarheid in Nederland. Het NCSC kreeg de volgende opdracht mee:

“Het bijeenbrengen van publieke en private partijen om informatie, kennis en expertise uit te wisselen, zodat inzicht kan worden verkregen in ontwikkelingen, kwetsbaarheden, dreigingen en trends, én ondersteuning kan worden geboden bij incidentafhandeling en crisisbesluitvorming. […].”1

Het mandaat van het NCSC is beperkt tot de vitale sector. Het grootste deel van het bedrijfsleven is echter niet-vitaal en valt daarmee buiten de reikwijdte van het NCSC. Dit terwijl het bedrijfsleven steeds vaker slachtoffer is van cyberrisico’s en er dus ook in die sector behoefte is aan een grotere cyberweerbaarheid. Om in die behoefte te voorzien, is in 2017 de oprichting van het Digital Trust Center (DTC) aangekondigd, dat vanaf 2018 voor een periode van twee jaar van start is gegaan.2 Na de evaluatie in 2020 is besloten om het DTC als vast onderdeel van het ministerie van Economische Zaken en Klimaat voort te zetten en de samenwerking met het NCSC te versterken.3

Niet alleen vanuit de overheid, maar ook vanuit de particuliere sector zijn verschillende initiatieven genomen om de digitale weerbaarheid te vergroten. Voorbeelden zijn Cyberveilig Nederland en Z-Cert, dat zich specifiek richt op de zorg, en de publiek-private samenwerking The Hague Security Delta.

Ook in de wetgeving is een reactie op digitale ontwikkelingen te zien. In de Verenigde Staten bestaat al vanaf 2003 de verplichting om datalekken te melden.4 Een vergelijkbare verplichting, alsmede een uitbreiding van de handhavingsbevoegdheden, is in 2016 geïntroduceerd in de Nederlandse Wet bescherming persoonsgegevens (Wbp), de destijds geldende nationale implementatie van de Europese Richtlijn 95/46/EG. Deze meldplicht datalekken was een duidelijke anticipatie op de Europese Verordening die op dat moment nog werd voorbereid en op 28 mei 2018 van kracht werd: de Europese Algemene Verordening Gegevensbescherming (AVG).5

In de AVG is naast een meldplicht bij inbreuken (artikel 33 en 34 AVG) ook een forse boetebevoegdheid van de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens) opgenomen, met boetes tot twintig miljoen euro of 4% van de wereldwijde totale jaaromzet indien dat hoger is (artikel 83 AVG). Net als de Wbp/Richtlijn 95/46/EG besteedt de AVG bovendien aandacht aan cybersecurity door in artikel 32 passende technische en organisatorische beveiligingsmaatregelen te verplichten.

Een andere meldplicht vloeit voort uit de implementatie van de Europese Netwerk en Informatiebeveiliging Richtlijn (NIB-Richtlijn).6 Deze Richtlijn is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), voorheen ook wel de ‘Cybersecuritywet’ genoemd,7 en strekt tot het tot stand brengen van een hoog gemeenschappelijk niveau binnen de EU van de beveiliging van netwerk- en informatiesystemen.8 Organisaties in vitale sectoren en digitale dienstverleners dienen ernstige digitale veiligheidsincidenten te melden bij de daartoe in de wet aangewezen instantie.9 Voor aanbieders van essentiële diensten, bijvoorbeeld in de sectoren energie, financiële markt, en drinkwater, is dat het NCSC.10 In de Wbni is een handhavingsbevoegdheid opgenomen in de vorm van een bestuurlijke boete van één tot vijf miljoen euro.11

Ook vanuit het oogpunt van corporate governance krijgt cybersecurity steeds meer aandacht. Zowel het bestuur als de Raad van Commissarissen dienen aandacht te hebben voor de risico’s van cybersecurity.12Principe 1.5 van de Corporate Governance Code 2016 bepaalt expliciet dat de auditcommissie zich dient te richten op onder andere de toepassing van informatie- en communicatietechnologie door de vennootschap, waaronder risico’s op het gebied van cybersecurity.

Tot slot is bij Europese Verordening 2019/881 een verder mandaat gegeven aan ENISA, het Europese Agentschap voor Netwerk- en Informatiebeveiliging.13 Niet alleen is ENISA het Europese referentiepunt voor advies en expertise op het gebied van cyberbeveiliging en bevordert zij door middel van bewustwording en voorlichting de cyberhygiëne en -geletterdheid bij burgers, organisaties en bedrijven, zij ondersteunt bovendien de ontwikkeling en uitvoering van het Uniebeleid inzake cyberbeveiligingscertificering van bijvoorbeeld ICT-producten.14

Toon alle voetnoten

Voetnoten

Voetnoten

Kamerstukken II 2011/12, 26643, nr. 220.

Kamerstukken II 2017/18, 26643, nr. 488, en de Brief aan de Tweede Kamer d.d. 17 juni 2019, ‘Voortgang Digital Trust Centre en speerpunten 2019’, kenmerk DGBI/19140517.

Brief aan de Tweede Kamer d.d. 18 februari 2020, ‘Evaluatie Digital Trust Centre’, kenmerk DGBI/20016619 en bijbehorend rapport van Kwink.

In 2003 enkel in Californië, geleidelijk uitgebreid naar vrijwel alle Amerikaanse staten. Zie nader hoofdstuk II.

Kamerstukken II 2012/13, 33662, nr. 3 (MvT) en artikel 99 lid 2 AVG.

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.

Deze benaming werd niet passend geacht en is bij amendement vervangen. Kamerstukken II 2017/18, 34883, nr. 8.

Artikel 1 Richtlijn (EU) 2016/1148, alsmede overweging 74.

Artikel 4 Wbni.

10.

Zie voor de aanwijzing van aanbieders van essentiële diensten het Besluit beveiliging netwerk- en informatiesystemen.

11.

Artikel 29 Wbni.

12.

Asser/Van Solinge & Nieuwe Weme 2-IIb 2019/141 en 289; C. Bulten & C.J.H. Jansen, ‘De taak van de commissaris in een digitale wereld: de noodzaak van awareness van cyber security’, Ondernemingsrecht 2019/69, p. 355-358; W.C.T. Weterings, ‘Persoonlijke aansprakelijkheid bestuurders voor onvoldoende IT-governance’, AV&S 2016/42, p. 209-210; F.G.H. Overkleeft, ‘De herziene Corporate Governance Code en technologische ontwikkelingen’, MvO 2017/1-2, p. 28-31; M.J.C. van Falier & A.J.F. Lafarre, ‘Risicomanagement in een data-gedreven wereld: de rol en expertise van bestuurders en commissarissen nader beschouwd’, TvOB 2020/4, p. 118-129.

13.

Verordening (EG) 2019/881 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening), 17 april 2019.

14.

Artikel 1 resp. 4 en 8 Verordening 2019/881.