Cybersecurity en contractuele aansprakelijkheid omvat het juridisch kader rond beveiliging van informatiesystemen en de daaruit voortvloeiende verplichtingen tussen contractspartners. Bij Musch Legal zien wij dat cyber-incidenten in 2026 standaard zijn — niet uitzondering. NIS2, CRA en AVG leggen zware verplichtingen op aan bestuurders, contractspartijen en leveranciers. Wie aansprakelijkheid niet contractueel regelt, draagt vaak miljoenenschade alleen.

Wat is het juridische probleem? (Welke cyber-aansprakelijkheid dreigt?)

Cyber-incidenten leiden tot datalekken, operationele uitval en ransomware-claims. Aansprakelijkheid kan ontstaan via AVG (datalek), contractbreuk (downtime), productaansprakelijkheid (gebrekkige software), tort (onrechtmatige daad). NIS2 verlangt cybersecurity-maatregelen voor essentiele en belangrijke entiteiten met persoonlijke bestuurdersaansprakelijkheid. Voor leveranciers van digitale producten geldt CRA met security-by-design vereiste.

Wat zegt de wet? (Welke kaders gelden?)

NIS2 (Richtlijn (EU) 2022/2555, implementatie tot 17 oktober 2024) verplicht cybersecurity-maatregelen, incident reporting binnen 24/72 uur en bestuurdersaansprakelijkheid voor essentiele en belangrijke entiteiten. Cyber Resilience Act (Verordening (EU) 2024/2847, gefaseerd vanaf 2027) verplicht security-by-design en vulnerability disclosure. AVG artikel 33-34 verlangt datalek-melding binnen 72 uur. DORA voor financiele sector (Verordening 2022/2554 sinds 17 januari 2025).

Naar Nederlands recht aanvullend Wet beveiliging netwerk- en informatiesystemen (Wbni).

Regelgeving

Toepasselijkheid

Hoofdverplichting

NIS2 2022/2555

Essentiele + belangrijke entiteiten

Risk management + incident reporting

CRA 2024/2847

Producten met digitale elementen

Security-by-design + CE-markering

AVG artikel 33-34

Persoonsgegevensverwerkers

Datalek-melding 72 uur

DORA 2022/2554

Financiele sector

Operational resilience

Wbni (NL)

Nationale uitwerking NIS2

Toezicht via NCSC

Regelgeving

Toepasselijkheid

Hoofdverplichting

NIS2 2022/2555

Essentiele + belangrijke entiteiten

Risk management + incident reporting

CRA 2024/2847

Producten met digitale elementen

Security-by-design + CE-markering

AVG artikel 33-34

Persoonsgegevensverwerkers

Datalek-melding 72 uur

DORA 2022/2554

Financiele sector

Operational resilience

Wbni (NL)

Nationale uitwerking NIS2

Toezicht via NCSC

Welke risico's lopen bedrijven? (Wat dreigt bij cyber-incident?)

AVG-boetes tot 4 procent wereldwijde omzet. NIS2-boetes tot 10 miljoen euro of 2 procent omzet voor essentiele entiteiten. Bestuurdersaansprakelijkheid onder artikel 2:9 BW en NIS2 artikel 20. Operationele schade door downtime en data-recovery. Reputatieschade bij publieke disclosure. Civiele claims door betrokkenen en klanten. Verzekeraars sluiten dekking uit bij gebrekkige basismaatregelen.

Praktisch voorbeeld uit onze praktijk (Hoe handelden wij een ransomware-claim af?)

Musch Legal vertegenwoordigde Nederlandse SaaS-onderneming na ransomware-aanval die klantdata blootstelde. Wij coordineerden AVG-datalek-melding bij AP binnen 72 uur, communicatie met betrokkenen, contractuele claims naar getroffen klanten (aansprakelijkheidsbeperking in algemene voorwaarden hield stand voor 18 van 22 klanten), regres tegen cyber-leverancier die kritieke patch had gemist, plus cyber-verzekeringsclaim. Totaal recovery 1,4 miljoen euro op geschatte 3,2 miljoen euro schade.

Wat kunt u doen? (Welk cybersecurity-framework bouwt u?)

Implementeer cybersecurity baseline (ISO 27001 of NIS2-conform). Bouw incident response plan met AVG-meldplicht binnen 72 uur. Sluit cyber-aansprakelijkheidsverzekering met side A en cyber-extortion. Contractueel: aansprakelijkheidsbeperking onder artikel 6:248 BW met cyber-uitsluiting van indirect damage. Voor leveranciers: cyber-due diligence en SLA met security-vereisten. Schakel Musch Legal in voor cyber-readiness-audit.

AVG en internationale datadoorgifte

AI-gebruik binnen internationale ondernemingen

Internationale privacyregels voor bedrijven