Houd de bestuurdersrol aantrekkelijk
Bestuurders van rechtspersonen krijgen met de NIS2-richtlijn een expliciete wettelijke opdracht om kennis te hebben van en zorg te dragen voor een goede beheersing van informatiebeveiligings-risico’s in de organisatie. Laten we de rol van bestuurder wel aantrekkelijk houden voor mensen met bestuurlijke kwaliteiten, stelt Walter van Holst.
Hoewel we denken dat Nederland één van de koplopers van de EU is als het gaat om het omzetten van Europese richtlijnen, is de werkelijkheid dat we achterin het peloton bungelen. Zo ook bij de veelbesproken NIS2-richtlijn, waarvan de omzettingstermijn op 25 oktober 2024 is verstreken. Het goede nieuws is dat inmiddels advies aan de Raad van State is gevraagd voor een implementatiewetsvoorstel. Minder goed nieuws is dat, afgaande op deze versie, we een nieuwe vorm van bestuurdersaansprakelijkheid voor bestuurders in het openbaar bestuur lijken te gaan krijgen.
De hoofdregel voor civiele aansprakelijkheid is in Nederland eenvoudig; die ontstaat als a) schade geleden is, b) de schadeveroorzaker duidelijk aan te wijzen is en deze c) een contractuele, een wettelijke of maatschappelijke norm heeft geschonden. Laatstgenoemde, de maatschappelijke norm van redelijkheid en billijkheid, heeft een uitzonderingsfunctie en wordt in de praktijk zelden succesvol ingeroepen. Bij rechtspersonen zoals vennootschappen, maar ook de staat, provincies, gemeenten en waterschappen, wordt aansprakelijkheid in beginsel gedragen wordt door de rechtspersoon en niet door bestuurders persoonlijk. Met voor private vennootschappen eigenlijk als enige uitzondering onbehoorlijk bestuur, iets wat we voor publieke rechtspersonen niet kennen.
Met het cyberbeveiligingswetsvoorstel verandert dit. Bestuurders van rechtspersonen krijgen een expliciete wettelijke opdracht (dus wettelijke norm) om kennis te hebben van en zorg te dragen voor een goede beheersing van informatiebeveiligingsrisico’s in de organisatie. Voor de duidelijkheid: een wettelijke norm die zich rechtstreeks richt tot bestuurders van een rechtspersoon schept een persoonlijke (civiele) bestuurdersaansprakelijkheid voor schending van die norm.
Een hypothetisch voorbeeld: een gemeente blijkt de informatiebeveiliging zowel uitvoerend als beleidsmatig niet op orde te hebben en de gemeentelijke infrastructuur wordt misbruikt als springplank voor een zeer schadelijke aanval op een bank. De bank verhaalt de schade op de gemeente én het college van burgemeesters en wethouders, maar inmiddels is het college van burgemeesters en wethouders (na verkiezingen) vervangen. Daar ontbreekt de bereidheid om het oude college te vrijwaren. Mocht de schadeclaim van de bank toegekend worden, dan zullen ook de oude collegeleden persoonlijk aansprakelijk zijn voor de geleden schade.
In de memorie van toelichting bij het wetsvoorstel staat weliswaar dat dit niet de bedoeling is en ook de website van BZK over dit onderwerp stelt dit, maar dit zeggen maakt nog niet dat het niet zo is. Een aansprakelijkheidsregeling in het Burgerlijk Wetboek kan niet zomaar doorkruist worden in een memorie van toelichting bij wetgeving in een ander domein. Zoiets hoor je expliciet te regelen. De NIS2-richtlijn laat expliciet ruimte voor de lidstaten om dit te doen. Ruimte die Nederland zou moeten pakken willen we goed bestuur in het publieke domein veiligstellen, en vooral, de rol van bestuurder aantrekkelijk houden voor mensen met bestuurlijke kwaliteiten.
Dit artikel is gepubliceerd in iBestuur Magazine #54 van april 2025
Lees ook:
- Dineren met de CISO – iBestuur
- Digitale weerbaarheid: samen sterk of de zwakste schakel? – iBestuur
- AIVD en RDI waarschuwen voor aanzienlijke uitdagingen met generatieve AI – iBestuur
