Cybersecurity wordt intensiever gereguleerd. Als General Counsel is het zaak om de wettelijke en organisatorische belangen te doorgronden en te behartigen in contracteren. Hoe zorg je daarvoor?
Regulering en overige belangen
Steeds meer sectoren worden gereguleerd op het gebied van cybersecurity. De voornaamste wetten zijn de recent aangenomen EU Network and Information Security (NIS)-2 Richtlijn en de Digital Operational Resilience Act (DORA). Deze wetten reguleren, kortgezegd, organisaties en instellingen die een bijdrage leveren aan de essentiële (digitale) infrastructuur zoals een groot aantal ICT dienstverleners, financiële instellingen, fabrikanten en transportbedrijven. Gereguleerde partijen zijn op hoofdlijnen verplicht om een effectieve governance op cybersecurity in te richten, beveiligingsmaatregelen implementeren, incidenten te melden en bepaalde contractuele afspraken overeen te komen met leveranciers.
Ook binnen sectoren die nog niet gereguleerd zijn is bewustzijn van deze verplichtingen van belang. Enerzijds omdat vaak zaken wordt gedaan met gereguleerde partijen. Anderzijds omdat het voldoen aan deze verplichtingen – los van het compliance aspect – vanuit organisatorisch perspectief veelal essentieel is om de bedrijfscontinuïteit en digitale weerbaarheid te borgen.
Het doorgronden van deze organisatorische en wettelijke belangen kan complex zijn door het technische karakter van cybersecurity en de hoeveelheid regulering die er op EU en nationaal niveau aankomt. Voor de General Counsel is het daarom zaak om zowel intern als bij contractonderhandelingen de dialoog te zoeken met de juiste personen.
Interne governance
In de aankomende cybersecurity wetgeving is een aantal wettelijke eisen opgenomen ten aanzien van de interne governance. Deze zijn voornamelijk gericht op het management dat, kort gezegd:
- voldoende kennis en vaardigheden moet hebben om ICT risico’s te begrijpen en de impact daarvan in te schatten;
- periodiek training op cybersecurity moet volgen; en
- betrokken moet zijn bij het opstellen en definiëren van een ICT risk management framework.
Naast deze vereisten zal de General Counsel goed moeten nadenken over zijn of haar eigen rol binnen de organisatie. Daar zijn verschillende modellen voor. Zo kan er, gezien de steeds intensievere regulering, voor gekozen worden om de General Counsel te betrekken bij het vaststellen van het cybersecuritybeleid en -strategie. Ook zou de General Counsel gevraagd kunnen worden om te adviseren over een risico gebaseerde aanpak waar het gaat om bepaalde kwetsbaarheden in het IT-landschap. Meer traditioneel is de General Counsel doorgaans in ieder geval betrokken bij het opstellen en onderhandelen van relevante (IT-)contracten.
De rol die de General Counsel inneemt hangt af van de aard van de organisatie en diens goederen en/of diensten. In ieder geval zal de General Counsel een netwerk van collega’s om zich heen moeten verzamelen om te begrijpen wat voor de organisatie vanuit cybersecurity perspectief belangrijk is. Periodiek overleg met bijvoorbeeld een chief (information) security officer of IT-manager over de voornaamste kwetsbaarheden kan hierbij zinvol zijn. Daarmee kan tevens worden geborgd dat in contractonderhandelingen ingezet wordt op de juiste afspraken.
Allocatie van taken in contracten
In contracten met IT-leveranciers moeten op basis van de aankomende wetgeving afspraken worden gemaakt om te borgen dat het interne cybersecurity niveau zoveel mogelijk wordt gehandhaafd. Voorlopig geldt dit voornamelijk voor financiële instellingen. Voorbeelden zijn afspraken ten aanzien van:
- de locaties waar de diensten worden geleverd;
- de toegankelijkheid, beschikbaarheid, integriteit, beveiliging en bescherming van persoonsgegevens;
- het waarborgen van de toegang, het herstel en de teruggave van de gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de IT-leverancier;
- kennisgevingstermijnen en rapportageverplichtingen van de IT-leverancier; en
- het recht om de prestaties van de IT-leverancier te monitoren.
Ook vóór de wettelijke regulering zagen we dergelijke bepalingen doorgaans terugkomen in IT-contracten. De regulering zal vanzelfsprekend impact hebben op de verhoudingen tussen partijen op deze punten. Vanuit organisatorisch perspectief is voornamelijk van belang dat met de contractuele afspraken de verschillende taken juist worden verdeeld en de juiste prikkels worden gestimuleerd. Zo kan een hoge frequentie van tests een veilig gevoel geven, terwijl dat een grote impact heeft op de prestaties van een applicatie. Om dergelijke nuances te onderkennen is ook hiervoor weer een open dialoog noodzakelijk.
