Kan een CISO ook in Nederland persoonlijk aansprakelijk worden gesteld?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De Amerikaanse bedrijfstoezichthouder SEC heeft de CISO van Solar Winds persoonlijk aansprakelijk gesteld. Hoe zou dat in Nederland uitpakken?
Antwoord: In 2021 was er ook nieuws over zo’n claim tegen de CISO persoonlijk, maar dat ging toen over een civielrechtelijke claim van aandeelhouders die securities fraud zagen in de wanboel die deze man ervan had gemaakt. Nu is het dus de beurstoezichthouder, maar de insteek is hetzelfde: door enerzijds te zeggen dat de security top is, en anderzijds diezelfde security volledig te verprutsen, misleid je aandeelhouders.
Kun je zoiets de CISO persoonlijk verwijten? Dat hangt allereerst af van waar deze staat. Ondanks de C-titel is een CISO namelijk niet perse een chief, een directeur of vergelijkbaar. Zoals het NCSC het uitlegt:
De CISO heeft, als kenner van cybersecurity, een adviserende, coördinerende en controlerende rol. De CISO heeft geen zelfstandige verantwoordelijkheid voor de cybersecurity van de organisatie. De CISO is namelijk geen eigenaar van IT- of OT-systemen. Die rol wordt altijd belegd bij het lijnmanagement van de organisatie.
Een adviseur of controlerende functie in een organisatie is natuurlijk geen bestuurder en kan dan niet persoonlijk aansprakelijk gehouden worden door derden. De juridische norm van “opzet of bewuste roekeloosheid” (art. 7:661 BW) ligt zó hoog dat je dit in de praktijk vrijwel nooit haalt.
Wie wél bestuurder is (een CISO in de board, dus) zou wel als bestuurder persoonlijk aansprakelijk gesteld kunnen worden. Het criterium is dan kort gezegd dat
in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
Het gaat dan vaak om zaken als willens en wetens verplichtingen aangaan die het bedrijf niet kan hebben, opzettelijk aansturen op contractbreuk enzovoorts. Maar hier gaat het primair om je werk niet goed doen, zitten te slapen in plaats van de security op orde te maken. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.
Voor de falende security zelf zie ik ook geen claims richting de bestuurder-CISO persoonlijk. Dat is ‘gewoon’ tekortschieten in je werk, en geen opzet om klanten of anderen schade toe te brengen.
In Europa kan er straks onder de NIS2-richtlijn meer. Het governance-artikel (20) bepaalt namelijk in lid 1:
De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
De bestuursorganen (zoals de directie) moeten dus zorgen voor adequate cyberbeveiliging. En dan staat in artikel 29:
De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Een eindverantwoordelijke voor informatiebeveiliging zou dus in theorie aan te spreken kunnen worden onder de NIS2 regels. Maar dat gaat niet direct over “de security was bagger” maar over “je bedrijf was zo ingericht dat de security wel bagger moest zijn”, over het niet kunnen nakomen van de richtlijn vanwege te beperkte bevoegdheden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).
Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.
De bestuurder weet (of kan weten) dat het niet volledig op orde is, maar misleid op het moment dat hij of zij zegt dat het wel afdoende op orde is.
Waarom zou je in dit geval de bestuurder niet aansprakelijk kunnen stellen voor de schade of kosten om het wel op orde te maken?
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).
Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.
Maar ik vind ook dat je als CISO ook je verantwoordelijkheid moet nemen en niet moet afschuiven wanneer zaken fout gaan waar je niets aan gedaan hebt. Zo ken ik diverse CISO's die in feite niets meer zijn dan omhoog gevallen administrative medewerkers of voormalige IT'ers. Daar zit geen enkele visie of besef in dat een CISO iets meer is dan alleen roepen dat er iets moet gebeuren. Je zal zelf actief moeten zijn en soms ook gewoon met je poten in de klei gaan staan om zaken vanaf de grond af te organiseren als de organisatie dat niet zelf doet. Ik ken er best veel die zo passief als de pest zijn en alleen maar vanuit een soort audit modus naar ontwikkelingen kijken. Maar een CISO is geen auditor en vice versa ook niet.
- Aansprakelijkheid NIS2 alleen als de CISO daadwerkelijk în de board zit
- paper trail en evidence van maatregelen, risk acceptances, adviezen en board meetings/decisions. En vergeet niet de 5e manier van risico-afhandeling: ignore. Geweigerde risico acceptaties ook documenteren.
Al met al zit de CISO meestal helemaal niet in de board, en is de NIS2 wat betreft bestuurlijke verantwoordelijkheid gewoon niet van toepassing. Desalniettemin: cover your ass.
Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.
En dan nog is het de vraag op welk nivo je waarschuwingen gaat uitgeven.
Kijk, als je leest dat er ergens is ingebroken met SQL injectie attack dan weet je dat het goed fout zit met de werkwijzen van de programmeurs. Maar ga je als CISO de regel "het gebruik van *sql*_query() is ten strengst verboden" uitvaardigen?
Dat lijkt me toch niet.
Maar later ga je wel op je bek als je filetransfer service zo in elkaar geprutst is...
Dan is het beter als je als CISO een papertrail achter laat.
Dan is duidelijk waar je allemaal voor gewaarschuwd hebt of op gewezen.
Als het bestuur of de directie er dan niets mee doet is dat hun verantwoordelijkheid en probleem.
En dan nog is het de vraag op welk nivo je waarschuwingen gaat uitgeven.
Kijk, als je leest dat er ergens is ingebroken met SQL injectie attack dan weet je dat het goed fout zit met de werkwijzen van de programmeurs. Maar ga je als CISO de regel "het gebruik van *sql*_query() is ten strengst verboden" uitvaardigen?
Dat lijkt me toch niet.
Maar later ga je wel op je bek als je filetransfer service zo in elkaar geprutst is...
Dan maak je de regel dat de code die je programmeurs maken gescanned moet worden voor het live gaat en dat de internet facing (kritieke/met gevoelige data) applicaties jaarlijks gepentest moeten worden
In heel veel gevallen heeft de CISO namelijk niet het mandaat te doen wat eigelijk moet en is het het senior management dat daar een stokje voor steekt.
Zolang de CISO niet in de board zit, zal ook het laatste punt nogal een lastig verhaal worden want dan is feitelijk de board eind-verantwoordelijke (meestla de CIO overigens wat een probleem opzicht is).
Dat is leuk gezegd, maar als je geen mandaat hebt en vooral in de lijn opereert krijg je dat onmogelijk voor elkaar. Top management moet zich dat realiseren en het mandaat uitgeven. Zo lang dat niet gebeurt ligt de verantwoordelijkheid nooit bij de security officer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
