In een steeds digitale wordende wereld is de bescherming van digitale netwerken, informatiesystemen en digitale infrastructuren van groot belang. De NIS-2 richtlijn heeft dan ook tot doel om de beveiliging hiervan naar een hoger niveau te tillen. De richtlijn geldt enkel voor zogenaamde ‘belangrijke’ en ‘essentiële’ ondernemingen. Maar wanneer is uw onderneming een ‘belangrijke’ of ‘essentiële’ onderneming? En wat gebeurt er als je niet voldoet aan de vereisten die de NIS-2 richtlijn stelt? Kun je dan de aansprakelijkheid neerleggen bij de toeleverancier van uw ICT-oplossingen? In dit gastblog zullen Joost van Dongen en Daniek Regterschot van Poelmann van den Broek Advocaten in gaan op deze vragen.
Drempelvoorwaarden voor toepasselijkheid
Of de NIS-2 richtlijn geldt voor uw onderneming, kunt u in beginsel bepalen aan de hand van drie stappen:
- Is uw onderneming actief in een van onderstaande sectoren?
| Energie | Afvalstoffenbeheer |
| Transport | Chemie |
| Bankwezen | Levensmiddelen |
| Gezondheidszorg | Vervaardiging/ manufacturing |
| Drink- en afvalwater | Aanbieden van digitale diensten |
| Digitale infrastructuur | OnderzoekPost- en koeriersdiensten |
| Beheer van ICT-diensten | |
| Infrastructuur voor de financiële markt | |
| OverheidRuimtevaart |
Ja: ga verder naar stap 2.
Nee: ga verder naar stap 3.
- Kwalificeert uw onderneming als middelgroot of groot?
| Vereisten grote onderneming: | Vereisten middelgrote onderneming: |
| Minimaal 250 werknemers in dienst; en | Minimaal 50 werknemers in dienst; en |
| Een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen | Een jaaromzet en een balanstotaal van meer dan € 10 miljoen |
Ja: uw onderneming is een belangrijke of essentiële entiteit en is daarom gebonden aan de NIS-2 richtlijn.
Nee: ga verder naar stap 3.
- Is sprake van een uitzondering?
Indien het antwoord op één van de bovenstaande vragen ‘Nee’ was, dan is uw onderneming in beginsel niet gebonden aan de NIS-2 richtlijn. Tenzij sprake is van één van de vier onderstaande uitzonderingen:
- Uw onderneming verleent een kritieke dienst, bijvoorbeeld wanneer u de enige aanbieder bent van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten, of wanneer verstoring van de geleverde dienst aanzienlijke gevolgen kan hebben voor de openbare veiligheid of volksgezondheid.
- Uw onderneming is een aanbieder van een vertrouwensdienst, zoals een register voor topleveldomeinnamen of een aanbieder van openbare elektronische communicatienetwerken/diensten.
- Ook overheidsinstanties die actief zijn in de sectoren zoals genoemd bij stap 1, vallen automatisch onder de NIS-2 richtlijn.
- U heeft een aanwijzing van de minister ontvangen dat u gebonden bent aan de NIS-2 richtlijn.
Belangrijke of essentiële onderneming
Iedere onderneming die onder de NIS-2 richtlijn valt moet voldoen aan dezelfde eisen. Toch maakt de richtlijn een onderscheid tussen belangrijke en essentiële ondernemingen. Alle andere ondernemingen waarvoor de NIS 2-richtlijn geldt, zijn in beginsel belangrijk. Alleen grote ondernemingen die in een van de sectoren in de linker rij (van het eerder vermelde overzicht) werkzaam zijn, zijn essentieel. Dit onderscheid bepaalt de mate van toezicht op uw onderneming en de maximale hoogte van de sancties.
Toezicht en handhaving
Indien uw onderneming valt onder de werkingssfeer van de NIS-2 richtlijn, bent u verplicht aan de in de richtlijn gestelde eisen te voldoen. De toezichthouder kan uw onderneming onderwerpen aan audits, inspecties en het verstrekken van inlichtingen. Indien de toezichthouder op basis hiervan tot de conclusie komt dat u zich niet aan de regels houdt, kan er worden gehandhaafd. Deze handhaving kan ver gaan; van het opvolgen van aanwijzingen tot het intrekken van vergunningen en betalen van hoge boetes.
Aansprakelijkheid onder NIS-2
Deze boetes kunnen oplopen tot een bedrag van € 10 miljoen of 2% van de wereldwijde jaaromzet. Dat is een bittere pil om te slikken. Zeker als u wordt aangesproken vanwege onjuiste beveiliging van informatiesystemen, cyberhygiëne en encryptie waarvoor u juist een IT-leverancier heeft ingeschakeld. Wanneer u afspraken maakt met uw IT-leverancier is het van belang hier bij stil te staan en eventueel overeen te komen dat boetes vanwege bijvoorbeeld gebrekkige beveiliging of encryptie kunnen worden doorgelegd aan de IT-leverancier. Ook kan het interessant zijn om hiervoor een cyberverzekering af te sluiten zeker wanneer een opgelegde boete valt onder de dekking van uw cyberverzekering.
Maak aanvullende afspraken over aansprakelijkheid met toeleveranciers vanwege NIS-2
IT-leveranciers sluiten aansprakelijkheid vaak contractueel uit, of beperken deze in vergaande mate. Indien dat het geval is, kunt u uw ICT-leverancier in beginsel niet aansprakelijk stellen voor een opgelegde boete. Met de komst van de NIS-2 richtlijn en de extra risico’s die daarbij komen kijken, is het goed om de gemaakte afspraken nog eens nader onder de loep te nemen zodat u weet waar u staat. Gemaakte afspraken kunnen eventueel worden herzien en bij nieuwe overeenkomsten met IT-leveranciers dient er extra aandacht te worden besteed aan de beperking van aansprakelijkheid. Zo zou u erop kunnen aansturen dat uw leverancier aansprakelijkheid voor een hoger bedrag accepteert en dat daarnaast de omvang van de aansprakelijkheid in ieder geval ook de oplegging van een eventuele boete door de toezichthouder op grond van NIS-2 omvat.
Ondervang risico’s door middel van een cyberverzekering
Bij het treffen van beveiligingsmaatregelen blijft er altijd een restrisico aanwezig. Dit risico is eventueel af te dekken door het afsluiten van een cyberverzekering. Ondanks dat deze verzekeringen een relatief nieuw risico ondervangen, dekken veel Nederlandse cyberverzekeringen veelal wél een opgelegde boete van een toezichthouder. Op voorwaarde dat de wet deze uitkering toestaat.
Met de NIS-2 richtlijn op komst is het goed om te weten of uw onderneming is gebonden aan de richtlijn. Indien dat het geval is, tref dan voldoende voorbereidende maatregelen zodat uw onderneming voldoet aan de verplichtingen die de richtlijn stelt. Onder voorbereidende maatregelen valt ook het in beeld brengen van de aansprakelijkheid van uw IT-toeleverancier, dan wel het bedingen van aanvullende aansprakelijkheidsmogelijkheden.
Dit artikel is geschreven door mr. Joost van Dongen en mr. Daniek Regterschot beiden advocaat op het gebied van IT, Intellectuele eigendom en commerciële contracten bij Poelmann van den Broek advocaten. Poelmann van den Broek advocaten is een full-service advocatenkantoor voor ondernemers en adviseert bedrijven uit onder meer de tech, productie, retail en bouw. Wilt u nader advies inwinnen over de contractuele aansprakelijkheid van uw IT-leverancier? Neem dan contact op met de IT-advocaten van Poelmann van den Broek op www.pvdb.nl.
