‘The times, they are a-changing’: bestuurders kunnen cyberrisico’s niet langer op afstand houden  

De jaarlijkse advocatenbrief

De afgelopen weken heb ik verschillende advocatenbrieven over het boekjaar 2025 naar accountants van mijn cliënten mogen sturen. Een jaarlijks terugkerende activiteit. In deze tijd van het jaar worden de jaarrekeningen immers gecontroleerd en bestuursverslagen opgesteld. Dit jaar heb ik er wat langer bij stilgestaan dan andere jaren. Dat resulteerde voor sommige cliënten in aanvullende brieven. Er knaagde namelijk iets bij mij: de advocatenbrief ziet op kwesties die zich in het verleden hebben gemanifesteerd, maar de oorzaken van de kwesties of de werkelijke risico’s waren nog niet aangepakt.

Bestuurders zijn zelf aan zet 

De meeste van mijn advocatenbrieven gaan naar accountants van cliënten die getroffen zijn door cyberincidenten, zoals ransomware aanvallen. Zeg maar de met de bekende Odidozaak vergelijkbare incidenten. In veel gevallen hadden deze incidenten kunnen worden voorkomen als basale maatregelen en principes als MFA, bewustwordingstrainingen voor medewerkers of least privilege voor admin accounts in acht waren genomen. De reflex van bestuurders en ik moet zeggen – ook van mijzelf – was om als eerste naar de IT-beheerders te kijken: wat was contractueel afgesproken en hadden zij mijn cliënten niet beloofd hen ‘volledig te ontzorgen’? Hadden zij deze kwetsbaarheden niet moeten onderkennen en mijn cliënten moeten waarschuwen voor de risico’s daarvan en hen moeten behoeden voor de voltrokken rampscenario’s? Ja, in veel gevallen was dat zo. Maar toch, de tijden veranderen en bestuurders worden door de wetgever, de rechter, accountants en IT- en internal auditors aangespoord om de verantwoordelijkheid voor cyberweerbaarheid zelf op te pakken en niet langer op afstand te zetten door deze bij anderen zoals CISO’s te parkeren.  

‘The times, they are a-changing’

‘The times, they are a-changing’. Bob Dylan spoorde in 1963 politici, ouders en critici al aan om zich aan te passen aan een nieuwe realiteit: ‘start swimming or sink like a stone.’ Zo is het met bestuurders, commissarissen en andere toezichthouders ook. Zij moeten kennis en vaardigheden verwerven om invulling te kunnen geven aan hun eigen verantwoordelijkheid voor cyberweerbaarheid. Een alternatief hebben zij niet.

NIS2 maakt bestuurders persoonlijk verantwoordelijk 

Het is niet alleen verstandig, zij zijn ertoe verplicht. De NIS2-richtlijn verplicht hen om trainingen te volgen zodat zij in staat zijn om beleid vast te stellen, de uitvoering daarvan te monitoren en zorgplichtmaatregelen te treffen. Voldoen zij daar niet aan, dan kunnen zij als bestuurder – dus niet alleen hun vennootschap – aansprakelijk gesteld worden, aldus de NIS2-richtlijn. 

Ook de Corporate Governance Code legt de lat hoger

De in 2025 geactualiseerde Corporate Governance Code stelt daarnaast bestuurders verplicht om in het bestuursverslag een verklaring omtrent risicobeheersing, de zogenaamde VoR, op te nemen. De VoR ziet onder meer op risico’s op het gebied van gegevensbescherming, cyberweerheid en verantwoorde toepassing van AI. Ook hiervoor zijn trainingen nuttig. Zonder kennis en vaardigheden is het lastig om een serieuze verklaring af te geven. 

Weerbaarheid is geen IT-thema meer, maar een bestuurlijk vraagstuk

En dan is er nog de publieke management letter van februari 2026 van de NBA, de NOREA en het IIA (Instituut van Internal Auditors) over ketenrisico’s, afhankelijkheden en bestuurlijke weerbaarheid. Zij schrijven daarin onder meer dat weerbaarheid niet langer een IT-thema is maar een bestuurlijk thema. Het raakt strategie, operatie, financiën en communicatie en bepaalt uiteindelijk de continuïteit van de onderneming.  Om die reden stellen zij dat continuïteit niet alleen een financiële of IT-vraag is, maar een geïntegreerd governance-vraagstuk. Zij adviseren realistische ketenoefeningen uit te voeren met bestuur, toezicht, leveranciers en partners gericht op uitval van technologie, data, logistiek of kritieke functies. Ook bevelen zij aan om ook de continuïteit en weerbaarheid van cruciale ketenpartners te beoordelen. In een volgend blog zal ik op de ketenverantwoordelijkheid nog eens nader ingaan.

 Start swimming or sink like a stone

Precies deze, de hierboven geschetste, ontwikkelingen zijn de reden geweest voor mijn initiatief om NIS2-trainingen aan bestuurders te verzorgen en precies deze ontwikkelingen zijn de reden voor mijn aanvullende brieven aan bestuurders in de afgelopen weken. Als advocaat zal ik altijd bestuurders bijstaan die getroffen worden door cyberaanvallen. Uiteraard. Maar als trusted advisor van dezelfde bestuurders zie ik het als mijn verantwoordelijkheid om hen te wijzen op de digitale kwetsbaarheden in hun organisatie, de consequenties die deze kunnen hebben voor de continuïteit van hun onderneming en hun eigen veranderende rol daarin. Immers: ‘The times, they are a-changing. Start swimming or sink like a stone’.

Contact

Wilt u meer weten over de veranderende rol van bestuurders en aanpalende governancevraagstukken? Bel of mail mr. dr. A.W. (Anne-Wil) Duthler via 070 306 00 33 of a.w.duthler@firstlawyers.nl. 

Bent u geïnteresseerd in een NIS2-training voor bestuurders? Klik hier.