De rol van de Raad van Bestuur in Cyber-risico Toezicht en de Juridische Verantwoordelijkheden

De recente ontwikkelingen omtrent verschillende vormen van misdragingen op de werkplek hebben de behoefte vergroot om een passend voorbeeld te stellen vanuit het hoogste managementniveau. Het onjuist handelen van medewerkers, zoals het schenden van de normen voor cybersecurity compliance, kan schadelijke gevolgen hebben voor de organisatiecultuur, het moreel van werknemers en de perceptie van het publiek over het bedrijf. Wanneer de raad van bestuur te traag reageert op misdragingen, kan dit de reputatie van de organisatie ernstige schade toebrengen. Ondanks de cyberrisico’s die gepaard gaan met compliance schendingen en andere misdragingen, hebben de meeste raden van bestuur nog steeds geen maatregelen genomen om deze kwesties adequaat aan te pakken. Bovendien werken sommige leden van de raad van bestuur niet samen met het management om beleid en procedures te ontwikkelen die gericht zijn op het voorkomen en verminderen van cyberrisico’s. Daarom moet de raad van bestuur zijn toezicht verantwoordelijkheden met betrekking tot cybersecurity serieus nemen en samenwerken met het hogere management om alle vormen van cyberrisico’s en cybersecurity-gerelateerde incidenten aan te pakken.

De raad van bestuur dient regelmatig het beleid en de procedures die in de bedrijfsvoering van de organisatie zijn ingebouwd te herzien. Ook moeten de bestuursleden samenwerken met het hogere management om een passend en effectief plan van actie voor cybersecurity-incidenten te ontwikkelen. Dit plan moet de actieve betrokkenheid van juridische adviseurs, human resources en public relations-personeel van de organisatie omvatten.

De rechtszaken tegen bestuursleden wegens nalatigheid in hun toezichthoudende verantwoordelijkheden zijn niet ongewoon. Zo werd in 2009 een rechtszaak aangespannen tegen de directie van Citigroup, waarbij werd beweerd dat zij hun fiduciaire plichten niet vervulden wat betreft het beheer en toezicht op verschillende risico's. De aanklagers beweerden dat de bestuurders bepaalde waarschuwingssignalen negeerden, zoals berichten in de pers die duidden op de verslechterende situatie in de krediet- en subprime markten. De rechtbank verwierp de zaak echter en benadrukte de hoge eisen die aan de aanklagers worden gesteld bij het indienen van een klacht tegen de raad van bestuur wegens het niet uitoefenen van toezicht.

De rechtbank bevestigde ook dat een organisatie niet aansprakelijk kan worden gesteld voor risicobeoordelingen die door de raad van bestuur zijn gemaakt, zolang er geen sprake is van een systematisch falen om toezicht uit te oefenen ondanks het bestaan van duidelijke aanwijzingen van mogelijke problemen. Dit betekent dat bestuursleden doorgaans niet verantwoordelijk kunnen worden gehouden voor fouten die zijn gemaakt bij het risicobeheer, tenzij er bewijs is dat zij met opzet of door grove nalatigheid hun verantwoordelijkheden hebben verwaarloosd.

Een ander voorbeeld van een zaak tegen een raad van bestuur betreft Goldman Sachs, waar de aanklagers beweerden dat de beloningsstructuur van de raad van bestuur risicovolle investeringen stimuleerde die voordelig waren voor het management maar schadelijk voor de aandeelhouders. De rechtbank verwierp deze bewering en benadrukte dat de beoordeling van de risico’s van een organisatie een interne aangelegenheid is die niet door rechters moet worden overgedaan.

De zaak tegen Wells Fargo benadrukt hoe belangrijk het is dat de raad van bestuur goed geïnformeerd blijft over de activiteiten van de organisatie, en hoe onzorgvuldigheid of het negeren van waarschuwingen kan leiden tot juridische en reputatieschade. Hoewel de hierboven besproken gevallen belangrijk zijn om te begrijpen, zou het voor de lezer ook van belang zijn om te beseffen dat het naleven van cyberbeveiligingsnormen niet alleen een juridische vereiste is, maar ook een essentieel onderdeel van het behoud van het vertrouwen van klanten, werknemers en aandeelhouders. Het is cruciaal dat de raad van bestuur niet alleen reactief, maar ook proactief handelt wanneer het gaat om cybersecurity, door een cultuur van naleving te bevorderen en tijdig maatregelen te nemen om mogelijke risico's te beheersen voordat ze uitmonden in grotere problemen.

Hoe het management de implementatie van cybersecurity-maatregelen kan waarborgen

De rol van het management en de raad van bestuur bij de implementatie van cybersecurity-maatregelen is van cruciaal belang voor het beschermen van de organisatie tegen cyberrisico's. Het is essentieel dat het management duidelijk de verantwoordelijkheden, taken en rollen definieert met betrekking tot cybersecurity en dat de juiste procedures voor het beheer van cyberrisico’s worden geïmplementeerd. De raad van bestuur moet ervoor zorgen dat het management effectieve besluitvormingsmodellen en communicatierichtlijnen ontwikkelt die de organisatie in staat stellen adequaat te reageren op cyberincidenten.

De eerste stap voor het management is het vaststellen van een passend model voor besluitvorming in cybersecurity. Dit model moet worden gedeeld met de raad van bestuur voordat het wordt toegepast, zodat de gevolgen voor de organisatie goed begrepen worden. Het management moet daarnaast een RACI-model (Responsible, Accountable, Consulted, Informed) ontwikkelen voor de cybersecurityfunctie, waarmee de verantwoordelijkheid voor het beheer van cyberrisico’s wordt toegewezen aan specifieke belanghebbenden.

Wanneer een cyberincident of datalek zich voordoet, moet het management ervoor zorgen dat er escalatiepunten zijn voor het melden van deze incidenten, zowel intern als extern. Het is van belang dat er snel wordt gereageerd, en dat het incident onmiddellijk de juiste belanghebbenden bereikt, waaronder de raad van bestuur. In geval van crisis moet er een versnelde besluitvormingsprocedure zijn om de impact van het incident te minimaliseren.

Daarnaast moeten de senior managementleden en risicomanagers het risicoprofiel van de organisatie in verband met cyberdreigingen regelmatig evalueren. Dit omvat niet alleen het identificeren van de kwetsbaarheden binnen de organisatie, maar ook het afstemmen van de risicotolerantie op de bredere strategie van de onderneming. Het is belangrijk dat de organisatie zich niet enkel richt op de preventie van incidenten, maar ook op het ontwikkelen van strategieën voor snel herstel na een aanval.

De raad van bestuur moet actief betrokken blijven bij het proces van cybersecuritymanagement door ervoor te zorgen dat alle commissies binnen de organisatie verantwoordelijk zijn voor het uitvoeren van cybersecuritypraktijken. Dit omvat het evalueren van de middelen die voor cybersecurity beschikbaar zijn, zowel intern als extern, en het waarborgen dat deze middelen effectief zijn in lijn met de vastgestelde beveiligingsdoelen van de organisatie. Cybersecurity moet een integraal onderdeel worden van de algehele informatiebeveiligingsprotocollen van de organisatie.

Naast de bovengenoemde maatregelen moet de raad van bestuur er ook voor zorgen dat het management de organisatie conformeert aan de wet- en regelgeving rondom cybersecurity. Dit houdt in dat er strikte naleving moet zijn van de normen voor gegevensbeveiliging en dat alle medewerkers op de hoogte moeten zijn van hun verantwoordelijkheden. De organisatie moet haar cyberbeveiligingsstrategie voortdurend bijwerken en afstemmen op de veranderende dreigingslandschappen, waarbij elke vorm van externe hulpbronnen zorgvuldig moet worden beheerd.

Het is belangrijk dat de senior managementleden regelmatig de effectiviteit van de cyberbeveiligingsmaatregelen evalueren. Ze moeten niet alleen de resultaten van incidenten analyseren, maar ook de methoden van cybercriminelen begrijpen om snel en effectief tegenmaatregelen te kunnen nemen. Daarnaast moet het management in staat zijn om de dynamiek van de cyberdreigingen te integreren in de cybersecuritystrategieën van de organisatie en deze strategieën steeds aanpassen aan de nieuwste ontwikkelingen.