Een gids hoe je als technologiebedrijf de aansprakelijkheid voor cyberbeveiliging kan reduceren

De NIS2-wet (Network and Information Security Directive) en de DORA-wet (Digital Operational Resilience Act) – die beide dit jaar van kracht worden voor bepaalde bedrijven in de EU – zullen het cyberbeveiligingslandschap op het hele continent opnieuw vorm gaan geven. 
 

Hoewel de NIS2- en DORA-wet mogelijk niet rechtstreeks van toepassing is op sommige IT- en softwarebedrijven, kunnen hun klanten ervoor kiezen om de cyberbeveiliging en operationele veerkracht van hun belangrijkste externe leveranciers te beoordelen om de naleving van de wetgeving te garanderen. Daarom is het van cruciaal belang dat technologiebedrijven op de hoogte zijn van de nieuwe eisen en de mogelijke risico’s die eraan verbonden zijn, om de risicobeperkende strategieën toe te passen.
 

Dit artikel beschrijft een aantal manieren waarop IT- en softwarebedrijven hun blootstelling aan risico en aansprakelijkheid kunnen beperken in het kader van deze nieuwe wetgeving. 

Transparantie en communicatie als hoekstenen

Beleid inzake kwetsbaarheid van software: Het is belangrijk een cultuur van verantwoorde kwetsbaarheidsrapportering aan te moedigen door een welomschreven beleid op te stellen. Klanten moeten worden gestimuleerd om kwetsbaarheden te melden aan hun IT- of softwareleverancier. Het beleid moet duidelijk beschrijven hoe kwetsbaarheden te melden, wat het proces is voor het coördineren van oplossingen, hoe de anonimiteit van melders wordt gegarandeerd en hoe ze worden beschermd tegen represailles.
 

Patchbeheer: Er moet een systeem worden opgezet voor het snel aanpakken van kwetsbaarheden die zijn vastgesteld door middel van interne tests of klantenrapporten. Wanneer kwetsbaarheden worden gevonden, moeten IT-bedrijven duidelijk communiceren aan hun klanten over de aard van het probleem, de mogelijke impact en de beschikbaarheid van een patch of update. 
 

Gebruik van duidelijke taal: Jargon of overdreven technische taal moet worden voorkomen bij het communiceren van beveiligingsproblemen of updates aan klanten. Door duidelijke en beknopte taal te gebruiken, kunnen klanten de communicatie gemakkelijker begrijpen. 
 

Alles documenteren: IT-bedrijven moeten welomschreven processen creëren om alle interacties met klanten te documenteren, inclusief het gegeven advies en eventuele gemaakte afspraken. Als ze het niet eens zijn met een klant of als er enige aansprakelijkheid dreigt, kan  gedetailleerde documentatie helpen om hun positie te ondersteunen.    
 

Klantvertrouwen: Het verkrijgen van certificeringen of SOC2-auditrapporten kan klanten verzekeren dat de beveiligingscontrole van de omgeving van hun IT-provider veilig en van een hoge standaard is. Bedrijven moeten klaar staan om bewijsstukken van controletests onder bepaalde omstandigheden te delen met klanten en regelgevers. 


Penetratietests bij dreigingen: Wanneer dit door klanten wordt vereist, moeten IT-bedrijven deelnemen aan penetratietests, waaronder poolingtests.

Gebruikmaken van de kracht van contracten

Duidelijke disclaimers: Softwareproviders moeten disclaimers opnemen in hun softwarelicentieovereenkomsten die de beperkingen van de beveiligingsmogelijkheden van de software schetsen, om duidelijke verwachtingen te formuleren. Benadruk wat de software moet doen en welke beveiligingsmaatregelen zijn ingevoerd binnen de functionaliteiten.
 

Omvang van de dienst: Een goed doordacht contract en/of Service Level Agreement (SLA) beschrijft de specifieke diensten die het technologiebedrijf levert en zijn verplichtingen. Dit zal helpen om vast te stellen waar het technologiebedrijf precies verantwoordelijk voor is. Het is ook nuttig om te vermelden wat de IT-provider niet zal doen, voor alle duidelijkheid. 
 

Verplichtingen van de klant: Het contract moet duidelijk de beveiligingsverantwoordelijkheden van de klant beschrijven, met als belangrijkste punt de melding van incidenten. Verantwoordelijkheden kunnen ook tijdige software-updates, goede toegangscontroles voor gebruikers en naleving van de beveiliging best practices omvatten. Bij het werken met grote organisaties die eigen IT-afdelingen in huis hebben, is de behoefte aan een duidelijke formulering van de verplichtingen van elke partij nog belangrijker. 
 

Beperkte garanties: Overweeg om beperkte garanties op te nemen in overeenkomsten tussen IT-provider en klant waarin afstand wordt gedaan van aansprakelijkheid voor indirecte of gevolgschade als gevolg van cyberaanvallen, en zorg ervoor dat de aansprakelijkheid altijd beperkt is tot een redelijk bedrag. Deze beperkingen kunnen helpen om potentiële aansprakelijkheidsrisico’s te beheren.
 

Vrijwaringsclausules: In sommige gevallen kunnen IT- en softwarebedrijven overwegen om vrijwaringsclausules op te nemen in hun overeenkomsten. Mogelijk willen ze ook clausules over overmacht opnemen, zoals het definiëren van een cyberaanval als overmacht in het contract. Dergelijke clausules kunnen enige aansprakelijkheid verschuiven naar de klant, maar ze zijn complex en zijn mogelijk niet afdwingbaar in alle rechtsgebieden. Overleg met een juridisch adviseur is dan ook van cruciaal belang. 

Klanten opleiden en verantwoordelijkheid geven

Beveiligingsdocumentatie: Uitgebreide IT-beveiligingsdocumentatie kan klanten in staat stellen hun software veilig te gebruiken. Deze documentatie moet de best practices beschrijven voor de veilige configuratie en implementatie van software en hen helpen om het maximale uit de beveiligingsfuncties te halen. Zoals hierboven vermeld, moet de taal in deze documentatie volledig en gemakkelijk te begrijpen zijn. 
 

Klanten informeren: IT- en softwarebedrijven moeten ernaar streven klanten te informeren als hun bestaande of voorgestelde niveau van IT-beveiliging ontoereikend is, bijvoorbeeld als ze geen multifactor verificatie gebruiken of slechte firewallcapaciteiten hebben. Wanneer klanten op de hoogte worden gebracht van dergelijke zwakke punten, moet dit duidelijk worden gedocumenteerd.  
 

Opleiding over beveiligingsbewustzijn: Techbedrijven moeten overwegen om hun klanten opleidingen in cyberbeveiligingsbewustzijn aan te bieden. Deze opleiding kan laten zien hoe ze hun IT-systemen veilig kunnen gebruiken en potentiële bedreigingen kunnen identificeren. Voor IT-bedrijven is het even belangrijk om ervoor te zorgen dat ze ook intern een vergelijkbare opleiding volgen. 

Samenvatting

Dit zijn algemene aanbevelingen - de specifieke implementatie strategie zal afhangen van de aard van de activiteiten en producten van een technologiebedrijf, hun doelgroep en de juridische omgeving waarin ze opereren. Overleg met een juridisch adviseur en de verzekeraar is van cruciaal belang om ervoor te zorgen dat hun aanpak in overeenstemming is met de relevante regelgeving en best practices. De hier geschetste algemene beginselen kunnen IT- en softwarebedrijven echter helpen om een robuuster en veerkrachtiger kader op te bouwen om risico's en aansprakelijkheid te beperken.  
 

Van algemene aansprakelijkheid tot cyberveiligheid en dekking van fouten en verzuim: de Technology Industry Practice van Chubb biedt verzekeringsoplossingen voor technologiebedrijven van alle groottes in een breed scala van sectoren.