Ontwikkelt of produceert u medische en diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen of andere transportmiddelen? Dan bent u actief in een kritieke sector en krijgt u binnenkort te maken met de Cyberbeveiligingswet. Deze wet is gebaseerd op de nieuwe Network and Information Security-richtlijn van de EU, oftewel NIS2(Cybersecurity). Het doel van die richtlijn is de weerbaarheid van de samenleving tegen digitale dreigingen te vergroten.
Door de aankomende wetgeving krijgen bedrijven te maken met strengere eisen inzake cyberrisicobeheer, toezicht en controle, incident response en bedrijfscontinuïteit. Dit leidt ertoe dat bedrijven niet alleen hun eigen beveiliging op orde moeten hebben, maar ook door hun toeleveranciers verantwoordelijk worden gemaakt voor de beveiliging. Een zwakke schakel in de keten kan immers grote gevolgen hebben, zoals het verlies van bedrijfsgeheimen, het stilvallen van ondernemingen en het niet meer kunnen leveren.
Innovatie en vertrouwelijkheid zijn voor veel hightechbedrijven cruciaal. Hun eigen digitale veiligheid hebben ze daarom vaak al (best) goed geregeld. Maar die bedrijven kunnen niet zonder hun ketenpartners. En is het daar altijd goed geregeld? Dat is nogal eens de vraag. Enkel het afspreken van geheimhouding in een NDA is echt niet meer voldoende. Aangejaagd door de op handen zijnde wetgeving is er steeds meer behoefte aan goede afspraken met toeleveranciers over het vormgeven van cybersecurity. Denk aan afspraken die ketenpartners verplichten tot het naleven van internationale standaarden zoals ISO 27001. Maar ook afspraken over het melden en afhandelen van incidenten, zoals cyberaanvallen, liggen voor de hand. Om te laten merken dat het zakenpartners menens is, worden hier ook al contractuele boetes aan gekoppeld.
Wanneer een ketenpartner niet voldoet aan de contractuele beveiligingsafspraken en dit leidt tot schade, dan staat u met de gemaakte afspraken sterk. U kunt dan namelijk aansprakelijkheid claimen op basis van wanprestatie. Als er geen expliciete afspraken zijn gemaakt, kan in sommige gevallen een beroep worden gedaan op onrechtmatige daad vanwege het schenden van de wettelijke zorgplicht. Dit laatste is echter vaak lastiger te bewijzen. En daardoor is de kans op een vergoeding van de schade minder groot.
Wilt u anticiperen op de aankomende wetgeving? Ga dan in gesprek met uw ketenpartners. En maak afspraken over het weerbaarder maken van uw keten tegen digitale dreigingen. Zo minimaliseert u risico’s en voldoet u aan de nieuwe Europese regelgeving.
Sven Johansen is advocaat bij Westphal Johansen Advocaten.
