Het gevaar schuilt in een klein hoekje, zegt men wel eens. Als we het hebben over cybercriminaliteit kan deze gekende wijsheid tellen. Als slachtoffer ben je immers vaak maar één muisklik verwijderd van een groot gevaar, met doorgaans ernstige gevolgen. Ook ondernemingen blijven al lang niet meer gespaard van dit fenomeen, maar vormen in tegendeel een geknipt doelwit. Volgens het Centrum Cybersecurity België (CCB) is een duidelijke stijgende trend waarneembaar van ondernemingen die het slachtoffer worden van georganiseerde cyberaanvallen. Phishing, computervirussen en ransomware vormen de grootste bedreigingen. Het valt te vrezen dat deze cyberaanvallen in de toekomst alleen maar zullen toenemen. Erachter schuilt namelijk een zeer lucratief systeem dat criminelen inspireert om hun malafide praktijken verder bij te schaven en te optimaliseren.
En dus is het zaak om hen voor te zijn en te blijven. Een uitdaging, dat is zeker, maar niet onmogelijk. Minstens geldt hier die andere wijsheid: wie niet waagt, niet wint. Of nog beter, wie niets doet, is per definitie verloren.
VLAIO stelt terecht het volgende: “cybersecurity is voor ondernemingen net zo onmisbaar geworden als veiligheidsgordels in een auto”¹. Als ondernemer of bestuurder van een onderneming is het vandaag quasi ondenkbaar om niet stil te staan bij de digitale gevaren die bestaan en om daartegen de gepaste beschermende maatregelen te nemen. Dit getuigt van goed bestuur, maar is eigenlijk zelfs inherent aan de verantwoordelijkheid die men draagt als ondernemer of bestuurder. Het niet waarborgen van de bescherming van gevoelige en/of noodzakelijke data van en voor de onderneming, kan haar continuïteit ernstig in het gedrang brengen. De potentiële gevolgen van een cyberaanval zijn immers groot en moeilijk voorzienbaar. Gaande van hoge bedragen aan losgeld die geëist worden, naar het volledig blokkeren van werkingsprocessen, etc.
Als ondernemer en bestuurder doet u er dus niet alleen goed aan om vooruitziend te handelen en een gedegen security beleid op poten te zetten, u bent het in principe ook verplicht. Minstens riskeert u belangrijke gevolgen als u dit niet doet.
In dat verband kan er verwezen worden naar de nieuwe Europese wetgeving ter zake, in het bijzonder de NIS2-richtlijn die sinds 16 januari 2023 van toepassing is², die zeer concrete verplichtingen oplegt voor zowel ondernemingen, als haar bestuurders om veiligheidsmaatregelen te nemen en incidenten te melden, gekoppeld aan aanzienlijke sancties. Hoewel deze richtlijn zich voorlopig toespitst op de (bestuurders van) grote ondernemingen en sectoren die van vitaal belang zijn voor de economie en samenleving, valt te verwachten dat het toepassingsgebied in de toekomst zal verruimen. Minstens kunnen er best practices uit afgeleid worden die als algemene leidraad moeten gelden, weliswaar steeds in verhouding tot de draagkracht van de betrokken onderneming.
Daarnaast, maar niet minder belangrijk, vloeit de verplichting voort uit de meer algemene regel van de bestuurdersaansprakelijkheid. Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van de hem/haar opgedragen taak. Het is en wordt in de toekomst des te meer de taak van een bestuurder om de onderneming die hij of zij bestuurt te beschermen tegen cyberaanvallen in al haar varianten en de schadelijke gevolgen te trachten te vermijden, op risico van persoonlijke aansprakelijkheid.
Tot slot nog dit (vóór de moed u in de schoenen zakt). Naast al die kommer en kwel, biedt de digitalisering ook tal van voordelen, zoals de toegang tot tal van informatie, tips en voorbeelden over het opzetten van een gedegen securitybeleid. Zo stelt het CCB verschillende modellen ter beschikking om u op weg te helpen .
Hoe dan ook is dit thema niet meer weg te denken, dus u bent beter maar mee. De boodschap is eenvoudig: be aware… or be square.
[1] https://www.vlaio.be/nl/begeleiding-advies/digitalisering/cybersecurity
[2] Met dien verstande dat de richtlijn nog moet worden omgezet in Belgisch recht tegen uiterlijk 17 november 2024.
