Nieuwe digitale dreigingen, de inzet van AI en strengere Europese regelgeving zoals NIS2: cybersecurity blijft op de agenda van elke organisatie. Niet alleen moeten organisaties hun technologie, maar ook hun organisatie, contracten en compliance structureel versterken. De General Counsel speelt hierin een sleutelrol, van voorbereiding op wetgeving tot het managen van incidenten.
Cybersecurity blijft in 2025 onverminderd belangrijk voor organisaties van elke omvang en sector. Nieuwe digitale dreigingen, de toenemende rol van AI bij zowel aanvallen als verdediging, én een breed scala aan Europese cyberwetgeving maken het noodzakelijk dat organisaties hun cyberweerbaarheid structureel versterken. Daarbij speelt niet alleen technologie een rol: juist op het vlak van organisatie, compliance en contractmanagement wordt meer gevraagd. Hierdoor komt cybersecurity steeds vaker op het bord van de General Counsel (GC) terecht.
NIS2 en Europese regelgeving
Sinds de Europese Commissie cybersecurity tot speerpunt heeft gemaakt met het motto ‘A Europe fit for the Digital Age’, is een omvangrijk pakket aan regelgeving geïntroduceerd. Dit pakket bestaat uit onder andere NIS2, DORA, CRA, AI Act en Data Act. Samen vormen deze wetten een geïntegreerd raamwerk voor digitale veiligheid, operationele weerbaarheid en data-integriteit. NIS2 geldt als een van de sleutelwetten uit dit pakket.
In juni 2025 ontving de Tweede Kamer het wetsvoorstel voor de Cyberbeveiligingswet (Cbw), die NIS2 in Nederland implementeert. Verwacht wordt dat deze wet in het tweede kwartaal van 2026 in werking treedt. Voor GCs betekent dit dat er veel voorbereid moet worden. De Cbw brengt concrete verplichtingen met zich mee, zoals het uitvoeren van impactanalyses, het aanpassen van governance en het contractueel vastleggen van verplichtingen richting leveranciers en klanten. Verschillende sectoren kunnen aanvullende eisen krijgen, en organisaties kunnen binnen meerdere sectoren vallen of binnen een internationale groep apart kwalificeren. Implementatie hiervan vraagt maanden voorbereidingstijd.
Niet alleen gereguleerde bedrijven moeten aan de slag. Door de ketenzorgplicht moeten ook contracten met leveranciers en klanten worden herzien, met aandacht voor beveiliging, auditrechten en data-integriteit. Dit vraagt van alle partijen – ook leveranciers – om hun status te inventariseren en te anticiperen op toekomstige verplichtingen.
Zorgplicht en juridische verankering
De kern van NIS2 is de zorgplicht. Organisaties moeten passende technische, operationele en organisatorische maatregelen nemen om risico’s voor hun netwerken en informatiesystemen te beheersen. Per sector kan dit nader worden ingevuld. Dit kan voor organisaties die in meerdere sectoren actief zijn complexe situaties opleveren, doordat zij met verschillende regelingen te maken krijgen.
Een opvallende vernieuwing is de bevoegdheid van vakministers om het gebruik van bepaalde leveranciers of technologieën te verbieden. Dat vereist dat organisaties in hun contracten substitutie- en exitclausules opnemen, zodat zij bij een verbod snel en beheerst kunnen overstappen. Bovendien wordt cybersecurity expliciet een bestuurlijke verantwoordelijkheid: het bestuur moet risicobeheersmaatregelen goedkeuren, toezicht houden op de uitvoering en beschikken over voldoende kennis en training.
Rapportageverplichting
Naast de zorgplicht is de meldplicht onder NIS2 belangrijk. Incidenten moeten gemeld worden bij het CSIRT en de bevoegde autoriteit, waarbij de meldingsdrempel per sector kan verschillen. De Cbw schrijft een kortere meldtermijn voor dan veel organisaties gewend zijn: binnen 24 uur. Daarna volgt een strikt proces van opvolging met vaste termijnen en eisen aan de informatievoorziening. Nederland gaat hier soms zelfs verder dan NIS2 vereist. Voor GCs betekent dit aanpassing van incident playbooks, besluitvormingsprocedures en communicatierichtlijnen. Voorbereiding is essentieel!
Van compliance naar crisisbeheersing
Volledige compliance met NIS2 en andere cyberwetgeving voorkomt niet elk incident, maar versterkt wel de weerbaarheid van de organisatie. Door te voldoen aan de wet, processen goed in te richten en deze te oefenen, kunnen organisaties sneller herstellen en schade beperken. De GC is hierin een cruciale schakel tussen techniek, bestuur en communicatie en fungeert als poort naar externe specialisten. Zo helpt de GC de organisatie effectief door een cybercrisis.
