Cybersecurityincidenten: verantwoordelijkheid van bestuurders en managementteams
Cyberaanvallen en datalekken komen steeds vaker voor en kunnen grote schade veroorzaken aan bedrijven. Financieel, operationeel en reputatiegewijs. Dit maakt cybersecurity tot een topprioriteit op bestuurlijk niveau. Waar digitale dreigingen vroeger als een puur technisch IT-probleem werden gezien, is inmiddels duidelijk dat ze een strategisch bedrijfsrisico vormen dat integraal deel uitmaakt van het ondernemingsbreed risicobeheer.
Toezichthouders benadrukken daarom dat cybersecurity niet alleen de verantwoordelijkheid van de IT-afdeling is: netwerk- en informatiesystemen zijn zo cruciaal voor de bedrijfscontinuïteit dat de aandacht van het hoogste bestuur vereist is.
In deze blog bespreken we de juridische plichten van bestuurders en managementteams bij cyberincidenten, de mogelijke gevolgen van nalatigheid, relevante wetgeving (Belgisch en Europees) en praktische stappen om cyberrisico’s te beperken.
Ook bij LEAGL ondersteunen we organisaties met heldere IT-policy’s om hun cybersecuritybeleid te versterken.
Cyberrisico’s, niet enkel een IT-probleem
Moderne organisaties zijn sterk afhankelijk van IT-systemen. Een succesvolle cyberaanval kan dan ook verder reiken dan enkel technische verstoring, hele bedrijfsprocessen kunnen stilvallen, vertrouwelijke data kan op straat belanden en het vertrouwen van klanten of partners kan een flinke deuk krijgen.
Cybersecurityincidenten zijn organisatiebrede crisissen. Zo bleek uit meerdere recente gevallen dat na een groot datalek niet de IT-manager maar de CEO het boetekleed moest aantrekken en publiek verantwoording moest afleggen. Bestuurders en hogere managers realiseren zich steeds meer dat cyberveiligheid onderdeel is van goed ondernemingsbestuur. Sterker nog, ondernemingen die cyberrisico’s proactief managen, presteren aantoonbaar beter en veerkrachtiger in de markt .
Bovendien neemt de frequentie en ernst van cyberaanvallen toe. Denk aan ransomware-aanvallen die volledige productielijnen lamleggen of hackers die gevoelige persoonsgegevens buitmaken. Dergelijke incidenten brengen niet alleen technische kosten mee (herstel van systemen), maar kunnen leiden tot juridische claims, boetes van toezichthouders en blijvende reputatieschade. Het is dan ook zaak dat de boardroom en het managementteam zich net zo met cyberveiligheid bezighouden als met financiële risico’s of strategische plannen. Zoals een overheidsrapport benadrukt: cybersecurity is niet “iets wat alleen de CISO en ICT-medewerkers aangaat” de continuïteit van de bedrijfsvoering staat op het spel. Met andere woorden, cyberrisico’s horen hoog op de agenda van de bestuurskamer.
Juridische plichten van bestuurders: van zorgplicht tot NIS2 en GDPR
Bestuurders (en in ruime zin ook het hoger management) hebben de plicht om de onderneming op een behoorlijke en zorgvuldige wijze te besturen. Dit houdt onder meer in dat zij materiële risico’s tijdig onderkennen en gepaste maatregelen nemen.
Cyberrisico’s vallen hier anno 2025 expliciet onder. In het vennootschapsrecht wordt vaak gesproken over een zorgplicht of de norm van de “voorzichtige en zorgvuldige bestuurder”. Concreet komt het erop neer dat van een leidinggevende verwacht wordt dat hij/zij handelt zoals een normaal voorzichtig bestuurder in dezelfde omstandigheden zou doen. Het negeren van duidelijke cyberdreigingen of het nalaten van elementaire beveiligingsmaatregelen kan dus worden gezien als een schending van die zorgplicht.
Bijvoorbeeld: Als de pers vol staat van cybersecurityrisico’s kan een bestuurder zich niet permitteren om dit risico zonder enige analyse naast zich neer te leggen, want doet hij dat toch en wordt het bedrijf vervolgens dagenlang lamgelegd door een zware cyberaanval, dan riskeert de bestuurder persoonlijke aansprakelijkheid. Met andere woorden: van bestuurders wordt verwacht dat zij redelijke voorzorgen nemen tegen bekende digitale gevaren.
NIS2: expliciete verantwoordelijkheid voor cyberveiligheid
Europese en Belgische regelgeving scherpen deze verplichtingen verder aan. Een belangrijk kader hierbij is de nieuwe NIS2-richtlijn (Network and Information Security 2), die eind 2024 in nationale wetgeving wordt omgezet. NIS2 is van toepassing op duizenden organisaties in kritieke of belangrijke sectoren (energie, gezondheidszorg, digitale infrastructuur, toeleveranciers van essentiële diensten, enz.) en legt nadrukkelijk verplichtingen op aan de bestuursorganen van deze entiteiten.
Bestuurders moeten ervoor zorgen dat hun organisatie de nodige cyberbeveiligingsmaatregelen neemt en toezicht houden op de uitvoering ervan. Met NIS2 krijgt het bestuur dus een wettelijke zorgplicht om cyberrisico’s te beheren, en bestuurders kunnen persoonlijk aansprakelijk worden gesteld als de organisatie de beveiligingsplichten schendt. Dit betekent bijvoorbeeld dat als een bedrijf dat onder NIS2 valt nalaat gepaste beveiligingscontroles in te voeren, de individuele bestuurders daarop kunnen worden aangesproken.
NIS2 vereist bovendien dat bestuurders over voldoende kennis beschikken van cyberbeveiliging. De richtlijn bepaalt dat leden van het bestuur een opleiding moeten volgen om de nodige vaardigheden te verwerven voor het identificeren en beheersen van cyberrisico’s en om de impact van incidenten op de dienstverlening van de organisatie te kunnen beoordelen. Met andere woorden, gebrek aan technische achtergrond is geen excuus, men verwacht dat bestuurders zich bijscholen of laten bijstaan zodat zij onderlegde beslissingen kunnen nemen op het vlak van informatiebeveiliging.
Hoewel NIS2 primair geldt voor bepaalde sectoren, onderstrepen toezichthouders dat alle bedrijven baat hebben bij dit hogere beveiligingsniveau. Cyberveiligheid is immers voor elke onderneming met digitale processen relevant. Ook buiten de scope van NIS2 blijft de algemene zorgvuldigheidsnorm gelden: elke bestuurder hoort redelijke maatregelen te treffen om zijn bedrijf te beschermen, ongeacht de sector.
GDPR en vertrouwelijke data
Naast NIS2 is de bekende GDPR (AVG – Algemene Verordening Gegevensbescherming) een belangrijk juridisch kader. De GDPR verplicht elke organisatie die persoonsgegevens verwerkt om “passende technische en organisatorische maatregelen” te nemen om deze gegevens te beveiligen. Worden gevoelige klant- of medewerkersdata gestolen bij een hack, dan spreekt men van een datalek. Als achteraf blijkt dat het bedrijf onvoldoende beveiligingsmaatregelen had getroffen of geen degelijk privacybeleid voerde, kan dit leiden tot sancties én tot bestuurdersaansprakelijkheid wegens nalatigheid.
In België kan een individuele bestuurder intern aansprakelijk worden gesteld door de vennootschap wanneer zijn handelen “kennelijk buiten de marge valt van wat een normaal voorzichtige bestuurder zou doen”
Bijvoorbeeld: als de Gegevensbeschermingsautoriteit (GBA) een bedrijf een forse boete oplegt na een datalek wegens ontbrekende beveiligingsmaatregelen, dan hebben aandeelhouders of het bedrijf zelf grond om de schade te verhalen op de bestuurder die zijn zorgplicht verzaakt heeft.
Iedere bestuurder behoort te beseffen dat een onderneming die met persoonlijke data werkt de GDPR-normen moet respecteren. Het niet naleven van die wettelijke plichten , of het onjuist omgaan met incidenten, zoals datalekken niet (of onnodig wel) melden, kan ook enorme reputatieschade veroorzaken.
Bestuurders en managers dragen dus de verantwoordelijkheid om privacyrisico’s serieus te nemen en afdoende beheersmaatregelen te implementeren.
Praktische aanbevelingen: je organisatie weerbaarder maken
Gezien de hoge inzet is het cruciaal dat bestuursleden en management proactief aan de slag gaan met cyberbeveiliging.
Enkele praktische stappen en best practices om risico’s te beperken:
Plaats cyber op de bestuursagenda: Zorg voor regelmatige bespreking van cyberrisico’s op het hoogste niveau. Overweeg een speciaal IT/cybersecurity-comité binnen de raad van bestuur dat toezicht houdt op informatiebeveiliging. Bestuurders die zelf minder technisch onderlegd zijn, kunnen zich omringen met interne of externe deskundigen om hen te adviseren. Het is essentieel een duidelijke “tone at the top” te zetten: het management moet het belang van cybersecurity uitstralen en ondersteunen.
Ontwikkel en handhaaf een duidelijk beleid: Stel een helder informatiebeveiligingsbeleid en incidentresponseplan op. Definieer verantwoordelijkheden, procedures bij een incident (bv. hoe en wanneer melden aan autoriteiten) en maatregelen voor risicobeheer. Integreer cyberrisico’s in het bredere enterprise risk management van de organisatie, zodat ze niet in een silo blijven. Regelmatig updaten van beleid en plannen houdt rekening met veranderende dreigingen.
Bewustmaking en training: Investeer in opleiding en awareness voor zowel personeel als leidinggevenden. Menselijk handelen is vaak de zwakste schakel (denk aan phishing-mails of zwakke wachtwoorden), dus creëer een cultuur van waakzaamheid. Zorg dat iedereen, van directiekamer tot werkvloer, basiskennis heeft van cyberhygiëne (zoals verdacht gedrag herkennen, updates tijdig uitvoeren, enz.). Bestuurders zelf dienen eveneens voldoende achtergrond op te bouwen om de juiste vragen te kunnen stellen en prioriteiten te bepalen.
“Dit alles kadert idealiter binnen een heldere IT-policy met duidelijke richtlijnen voor cyberhygiëne, meldingsprocedures en toegangsbeheer – een basisinstrument dat elke organisatie zou moeten implementeren en updaten. Bij LEAGL bieden we deze IT-policy’s aan als praktisch hulpmiddel voor bestuurders en managementteams.”
Technische maatregelen en monitoring: Laat periodiek security-audits en penetratietests uitvoeren door specialisten (zoals ethische hackers) om zwakke plekken op te sporen. Veel bedrijven ontdekken pas door zo’n test waar de urgente gaten zitten. Monitor continu de systemen op verdachte activiteiten en houd software up-to-date. Het tijdig detecteren van een inbraak kan enorme schade voorkomen, snelle respons is cruciaal, en dat vergt voorbereid zijn.
Schakel expertise in en deel informatie: Overweeg om externe cybersecurity-experts of consultants aan te trekken voor advies, zeker als de eigen IT-afdeling overbelast is of niet alle kennis in huis heeft. Samenwerking in de sector kan ook helpen: deel informatie over dreigingen binnen brancheverenigingen of via het CCB (Centrum voor Cybersecurity België) om van elkaar te leren. Steeds meer organisaties laten zich ook certificeren (bijvoorbeeld via ISO 27001) om hun beveiligingsprocessen te verbeteren, dit kan een nuttig traject zijn om gestructureerd aan weerbaarheid te werken.
Verzeker en plan voor het ergste: Hoewel preventie vooropstaat, is het belanggrijk om na te denken over risicospreiding. Een cyberverzekering kan financiële gevolgen deels opvangen, en een goede bestuurdersaansprakelijkheidsverzekering biedt persoonlijke bescherming als het toch misgaat. Simuleer daarnaast het worstcasescenario: voer een cyberoefening of tabletop exercise uit met het crisisteam en het bestuur. Door te oefenen hoe je zou reageren op een ransomware-aanval of datalek, kan je valkuilen in je voorbereiding identificeren en je team trainen om gepast te handelen onder druk.
Cybersecurity is anno 2025 uitgegroeid tot een kerntaak van bestuurders en managementteams. De risico’s van cyberincidenten raken de hele organisatie, niet alleen de IT-systemen, en de juridische verantwoordelijkheid hiervoor kan niet langer worden afgeschoven. Wetgeving zoals NIS2 en GDPR heeft duidelijk gemaakt dat op bestuursniveau verantwoordelijkheid moet worden genomen voor cyberveiligheid, onder dreiging van zware sancties bij nalatigheid.
Maar los van wettelijke verplichtingen is het vooral goed ondernemerschap: wie actief waakt over digitale risico’s, beschermt niet alleen zijn bedrijf tegen potentieel desastreuze gevolgen, maar voldoet ook aan de fiduciaire plicht tegenover stakeholders en verzekert de duurzame continuïteit van de onderneming.
Met een combinatie van bewustwording, de juiste voorzorgsmaatregelen en een sterk governancekader kunnen organisaties hun cyberweerbaarheid aanzienlijk verhogen.
Bestuurders die nu de toon zetten en investeren in cybersecurity, qua kennis, middelen en beleid, zullen niet alleen incidenten beter het hoofd bieden, maar zich ook kunnen verantwoorden dat ze hun rol serieus nemen.
Uiteindelijk is voorkomen beter dan genezen, zeker waar de schade onherstelbaar kan zijn. Kortom, cyberveiligheid is teamwerk op het hoogste niveau: het vraagt betrokkenheid van heel de organisatie, met de bestuurskamer voorop als voortrekker en hoeder van digitale weerbaarheid.
Vragen? Wij staan voor je klaar.
Aarzel niet om expertise in te schakelen. Bij LEAGL staan we klaar om je oplossingsgericht te adviseren, zodat je met een gerust hart kunt inspelen op de nieuwste wetgeving zonder kopzorgen. Flexibel én juridisch sterk ondernemen: het kan, met de juiste aanpak!