Netherlands

Risk Impact: De dynamiek van de wet

 

Editie Maart 2017

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Iedere maand blikken we terug: wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

Schade en schande maakt niet alleen mensen wijzer, maar leidt ook tot scherpere wet- en regelgeving om groepen in de samenleving beter te beschermen. Recente voorbeelden zijn de verankering van de nieuwe Corporate Governance Code in onze wet en de acceptatie van de NIS (Security of Network and Information Systems) door de Europese Commissie. De NIS-richtlijn is de eerste wetgeving binnen de EU op het gebied van cyberveiligheid. Hoe raakt dit soort nieuwe wetgeving u als ondernemer? En welke nieuwe mogelijkheden krijgt u er juist mee? U leest het in deze Risk Impact.

Governance Code verankerd in de wet
De herziening van de code voor goed bestuur, beter bekend als de Corporate Governance Code, stond al eerder centraal in Risk Impact. De code begon ooit als initiatief van het bedrijfsleven zelf en dateert uit 2003. Inmiddels is hij al twee keer herzien: in 2008 en in 2016. De huidige versie besteedt extra aandacht aan langetermijnwaardecreatie, bedrijfscultuur, bestuur en toezicht. Ook vraagt de nieuwe code nog explicieter om actief risicomanagement.

Omdat veel partijen uit de sector betrokken waren bij de laatste herziening van de code, is het draagvlak ervoor groot. Inmiddels heeft ook het kabinet zich positief over de code uitgelaten. Minister Kamp van Economische Zaken stelt dat de code ambitie uitstraalt en inspeelt op actuele maatschappelijke discussies zoals duurzaamheid, diversiteit en transparantie in beloningsbeleid.

Nieuw is dat de herziene code verankerd wordt in de wet. Daardoor dienen beursgenoteerde bedrijven voortaan standaard in hun bestuursverslag te rapporteren hoe ze de code naleven. De algemene vergadering kan het bedrijf hierop aanspreken. Een speciaal ingestelde overheidscommissie zal de naleving van de Corporate Governance Code voortaan monitoren.

Hoe moet u met de code aan de slag? Allereerst is het belangrijk om uw bedrijfsdoelstellingen scherp in beeld te krijgen. Dus moet u weten waar u op dit moment staat, of u alles op orde heeft ten aanzien van de code en wat beter kan. Let goed op dat u de ‘pas toe of leg uit’-regel consequent toepast: leg zorgvuldig uit waarom u een bepaling niet heeft toegepast. Komt u er niet in uw eentje uit met de Corporate Governance Code? Roep dan direct uw risicoadviseur en accountant erbij. Zij helpen u graag.

NIS: digitale veiligheid in heel Europa
Om Europa beter tegen cyberrisico’s te beschermen, heeft de Europese Commissie de afgelopen jaren een reeks maatregelen voorbereid. Eén van die maatregelen is de richtlijn voor de veiligheid van netwerken en informatiesystemen, beter bekend als de NIS-richtlijn. Deze richtlijn gaat in op 9 mei 2018. Hij geldt voor alle sectoren die van vitaal belang zijn voor onze economie en maatschappij én die sterk afhankelijk zijn van ICT. Denk aan energie, transport, water, banken, financiële marktinfrastructuren, gezondheidszorg en de digitale infrastructuur. Organisaties met minder dan 50 medewerkers vallen niet onder de richtlijn.

De ‘NIS’ confronteert organisaties met flink wat nieuwe verplichtingen, zowel voor technische- als organisatorische aspecten van digitale veiligheid. Doel is de garantie van een minimaal veiligheidsniveau van netwerk- en informatiesystemen. Een greep uit de vereiste maatregelen:

  • Verbeterde cybersecurity
    Iedere lidstaat zal een nationale strategie voor de beveiliging van netwerken en informatiesystemen opstellen, en beleid en regelgeving vaststellen.
  • Verbeterde samenwerking binnen de EU
    De NIS-richtlijn ondersteunt strategische samenwerking en vergemakkelijkt de uitwisseling van informatie tussen de lidstaten.
  • Risicomanagement en rapportageverplichtingen
    Digitale service providers (DSP) en organisaties die essentiële diensten aanbieden, moeten passende veiligheidsmaatregelen nemen en zijn verplicht om ernstige incidenten te melden aan de daarvoor aangewezen nationale autoriteit.
Voor DSP gelden ook maatregelen op het vlak van incident response & handling, business continuity management (BCM), monitoring, auditing en het testen van compliance tegen internationale standaarden op het gebied van netwerkbeveiliging en bedrijfscontinuïteit. De NIS-richtlijn brengt ook een meldplicht met zich mee, vergelijkbaar met de meldplicht binnen de Europese Privacy Verordening.

 

Wat verwacht de NIS-richtlijn van u?
De NIS-richtlijn is opgesteld voor de beveiliging van netwerken en informatiesystemen. Daar doet u ongetwijfeld zelf al het nodige aan. Ter voorbereiding op de NIS-richtlijn is het belangrijk om nog eens goed uw eigen risico’s en de mogelijke impact te identificeren. Zo ziet u welke prioriteiten u moet stellen. Ons advies: start pas met de implementatie van de vereisten uit de richtlijn als u dit inzicht heeft.