image

Kan een CISO ook in Nederland persoonlijk aansprakelijk worden gesteld?

woensdag 8 november 2023, 13:24 door Arnoud Engelfriet, 10 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De Amerikaanse bedrijfstoezichthouder SEC heeft de CISO van Solar Winds persoonlijk aansprakelijk gesteld. Hoe zou dat in Nederland uitpakken?

Antwoord: In 2021 was er ook nieuws over zo’n claim tegen de CISO persoonlijk, maar dat ging toen over een civielrechtelijke claim van aandeelhouders die securities fraud zagen in de wanboel die deze man ervan had gemaakt. Nu is het dus de beurstoezichthouder, maar de insteek is hetzelfde: door enerzijds te zeggen dat de security top is, en anderzijds diezelfde security volledig te verprutsen, misleid je aandeelhouders.

Kun je zoiets de CISO persoonlijk verwijten? Dat hangt allereerst af van waar deze staat. Ondanks de C-titel is een CISO namelijk niet perse een chief, een directeur of vergelijkbaar. Zoals het NCSC het uitlegt:

De CISO heeft, als kenner van cybersecurity, een adviserende, coördinerende en controlerende rol. De CISO heeft geen zelfstandige verantwoordelijkheid voor de cybersecurity van de organisatie. De CISO is namelijk geen eigenaar van IT- of OT-systemen. Die rol wordt altijd belegd bij het lijnmanagement van de organisatie.

Een adviseur of controlerende functie in een organisatie is natuurlijk geen bestuurder en kan dan niet persoonlijk aansprakelijk gehouden worden door derden. De juridische norm van “opzet of bewuste roekeloosheid” (art. 7:661 BW) ligt zó hoog dat je dit in de praktijk vrijwel nooit haalt.

Wie wél bestuurder is (een CISO in de board, dus) zou wel als bestuurder persoonlijk aansprakelijk gesteld kunnen worden. Het criterium is dan kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.

Het gaat dan vaak om zaken als willens en wetens verplichtingen aangaan die het bedrijf niet kan hebben, opzettelijk aansturen op contractbreuk enzovoorts. Maar hier gaat het primair om je werk niet goed doen, zitten te slapen in plaats van de security op orde te maken. Dat ligt een stuk moeilijker:

… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.

De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

Voor de falende security zelf zie ik ook geen claims richting de bestuurder-CISO persoonlijk. Dat is ‘gewoon’ tekortschieten in je werk, en geen opzet om klanten of anderen schade toe te brengen.

In Europa kan er straks onder de NIS2-richtlijn meer. Het governance-artikel (20) bepaalt namelijk in lid 1:

De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.

De bestuursorganen (zoals de directie) moeten dus zorgen voor adequate cyberbeveiliging. En dan staat in artikel 29:

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.

Een eindverantwoordelijke voor informatiebeveiliging zou dus in theorie aan te spreken kunnen worden onder de NIS2 regels. Maar dat gaat niet direct over “de security was bagger” maar over “je bedrijf was zo ingericht dat de security wel bagger moest zijn”, over het niet kunnen nakomen van de richtlijn vanwege te beperkte bevoegdheden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
08-11-2023, 14:54 door Drs Security en Privacy
En dan moet je ook nog maar bewijzen dat het de schuld van de CISO is dat het allemaal bagger is.
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).
08-11-2023, 15:48 door Anoniem
Door Drs Security en Privacy: En dan moet je ook nog maar bewijzen dat het de schuld van de CISO is dat het allemaal bagger is.
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).

Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.
09-11-2023, 08:36 door Anoniem
Arnoud, ik probeer je redenatie te volgen in het geval dat het gaat om het aanspreken van de bestuurder, vanuit de rol van aandeelhouder (belegger) of toezichthouder.

De bestuurder weet (of kan weten) dat het niet volledig op orde is, maar misleid op het moment dat hij of zij zegt dat het wel afdoende op orde is.

Waarom zou je in dit geval de bestuurder niet aansprakelijk kunnen stellen voor de schade of kosten om het wel op orde te maken?
09-11-2023, 08:52 door Anoniem
Door Anoniem:
Door Drs Security en Privacy: En dan moet je ook nog maar bewijzen dat het de schuld van de CISO is dat het allemaal bagger is.
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).

Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.
Je moet idd al je adviezen goed bewaren. Maar als je het goed kan vinden met je bestuurder en het riskmanagement goed georganiseerd hebt dan heb je vast ook wel een risico acceptatie verklaring van de bestuurder wanneer deze voorgestelde maatergelen niet wil implementeren. Ik vraag daar altijd om en die krijg ik, soms na veel aandringen, dan ook waarmee ik aan mijn verplichtingen heb voldaan.
Maar ik vind ook dat je als CISO ook je verantwoordelijkheid moet nemen en niet moet afschuiven wanneer zaken fout gaan waar je niets aan gedaan hebt. Zo ken ik diverse CISO's die in feite niets meer zijn dan omhoog gevallen administrative medewerkers of voormalige IT'ers. Daar zit geen enkele visie of besef in dat een CISO iets meer is dan alleen roepen dat er iets moet gebeuren. Je zal zelf actief moeten zijn en soms ook gewoon met je poten in de klei gaan staan om zaken vanaf de grond af te organiseren als de organisatie dat niet zelf doet. Ik ken er best veel die zo passief als de pest zijn en alleen maar vanuit een soort audit modus naar ontwikkelingen kijken. Maar een CISO is geen auditor en vice versa ook niet.
09-11-2023, 11:49 door Wijsneus - Bijgewerkt: 09-11-2023, 11:52
samenvattend
- Aansprakelijkheid NIS2 alleen als de CISO daadwerkelijk în de board zit
- paper trail en evidence van maatregelen, risk acceptances, adviezen en board meetings/decisions. En vergeet niet de 5e manier van risico-afhandeling: ignore. Geweigerde risico acceptaties ook documenteren.

Al met al zit de CISO meestal helemaal niet in de board, en is de NIS2 wat betreft bestuurlijke verantwoordelijkheid gewoon niet van toepassing. Desalniettemin: cover your ass.
09-11-2023, 14:01 door Anoniem
Reden om NIS2 breder te maken (meer instellingen) dan nu het geval is...
09-11-2023, 16:35 door Anoniem
Door Anoniem:
Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.

En dan nog is het de vraag op welk nivo je waarschuwingen gaat uitgeven.
Kijk, als je leest dat er ergens is ingebroken met SQL injectie attack dan weet je dat het goed fout zit met de werkwijzen van de programmeurs. Maar ga je als CISO de regel "het gebruik van *sql*_query() is ten strengst verboden" uitvaardigen?
Dat lijkt me toch niet.

Maar later ga je wel op je bek als je filetransfer service zo in elkaar geprutst is...
10-11-2023, 10:45 door Anoniem
Door Anoniem:
Door Anoniem:
Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.

En dan nog is het de vraag op welk nivo je waarschuwingen gaat uitgeven.
Kijk, als je leest dat er ergens is ingebroken met SQL injectie attack dan weet je dat het goed fout zit met de werkwijzen van de programmeurs. Maar ga je als CISO de regel "het gebruik van *sql*_query() is ten strengst verboden" uitvaardigen?
Dat lijkt me toch niet.

Maar later ga je wel op je bek als je filetransfer service zo in elkaar geprutst is...

Dan maak je de regel dat de code die je programmeurs maken gescanned moet worden voor het live gaat en dat de internet facing (kritieke/met gevoelige data) applicaties jaarlijks gepentest moeten worden
10-11-2023, 10:59 door Anoniem
Door Drs Security en Privacy: En dan moet je ook nog maar bewijzen dat het de schuld van de CISO is dat het allemaal bagger is.
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).
Sommige zaken hoeven niet meer bewezen te worden. Het wordt tijd dat de eerste CISO ontslagen gaat worden voor gebruik van consumenten software in een professionele setting.
10-11-2023, 11:58 door Anoniem
Je zal zelf actief moeten zijn en soms ook gewoon met je poten in de klei gaan staan om zaken vanaf de grond af te organiseren als de organisatie dat niet zelf doet. Ik ken er best veel die zo passief als de pest zijn en alleen maar vanuit een soort audit modus naar ontwikkelingen kijken. Maar een CISO is geen auditor en vice versa ook niet.

Dat is leuk gezegd, maar als je geen mandaat hebt en vooral in de lijn opereert krijg je dat onmogelijk voor elkaar. Top management moet zich dat realiseren en het mandaat uitgeven. Zo lang dat niet gebeurt ligt de verantwoordelijkheid nooit bij de security officer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.