§ 38 BSIG

§ 38 BSIG: de plichten van de bedrijfsleiding

Uitvoeren, bewaken, bijscholen: drie plichten die bij de leiding blijven.

Simon OrzelSimon Orzel·Doorlopend gecontroleerd

Wat § 38 BSIG vereist

§ 38 BSIG zet Artikel 20 NIS 2 om in Duits recht en richt zich niet op de entiteit, maar op de personen aan de top. De bedrijfsleiding van bijzonder belangrijke en belangrijke entiteiten moet de risicomanagementmaatregelen uit § 30 BSIG uitvoeren en de uitvoering ervan bewaken. Cyberbeveiliging is daarmee uitdrukkelijk een taak van de leiding, en niet alleen een zaak van de IT.

Artikel 20 NIS 2 spreekt van goedkeuren en toezien, § 38 BSIG formuleert de plicht als uitvoeren en bewaken. Bedoeld wordt hetzelfde: de leiding moet de maatregelen kennen, ervoor instaan en de effectiviteit ervan in de gaten houden. Wie enkel klakkeloos goedkeurt, voldoet niet aan de bewakingsplicht.

De drie plichten van de bedrijfsleiding
§ 38 lid 1 en 3 BSIG, Artikel 20 NIS 2.
1

Uitvoering van de maatregelen uit § 30

De bedrijfsleiding moet ervoor zorgen dat de risicomanagementmaatregelen uit § 30 lid 2 BSIG daadwerkelijk worden uitgevoerd. De verantwoordelijkheid daarvoor kan niet worden overgedragen aan de IT-afdeling of een dienstverlener.

2

Bewaking van de uitvoering

Uitvoeren alleen is niet genoeg. De leiding moet doorlopend bewaken of de maatregelen werken, en dit kunnen aantonen. Regelmatige rapportages aan de bedrijfsleiding en de gedocumenteerde kennisneming daarvan zijn het gebruikelijke bewijs.

3

Deelname aan trainingen

Volgens § 38 lid 3 BSIG dienen de leden van de bedrijfsleiding regelmatig aan trainingen deel te nemen, om cyberrisico's zelf te kunnen herkennen en beoordelen. De wet noemt geen specifieke certificering; doorslaggevend is de aantoonbare deelname.

De persoonlijke aansprakelijkheid volgens § 38 lid 2

§ 38 lid 2 BSIG regelt een interne aansprakelijkheid: schenden leden van de bedrijfsleiding hun plichten uit lid 1, dan zijn zij tegenover hun eigen entiteit aansprakelijk voor de daardoor verwijtbaar veroorzaakte schade. Het gaat om aansprakelijkheid tegenover de eigen onderneming, niet tegenover autoriteiten of derden.

Deze interne aansprakelijkheid komt naast de algemene bestuurdersaansprakelijkheid uit § 43 GmbHG en § 93 AktG. Zij is de reden waarom de uitvoerings- en bewakingsplicht geen formaliteit is: een gedocumenteerd bewakingsproces vormt tegelijk de disculpatie van de handelende personen.

De trainingsplicht en het bewijs daarvan

De trainingsplicht uit § 38 lid 3 BSIG rust persoonlijk op de leidinggevenden. Vereist is voldoende kennis om cyberrisico's te herkennen en de passendheid van de maatregelen te beoordelen, geen technische specialistische kennis.

Omdat de wet geen aanbieder en geen certificering voorschrijft, is het bewijs eenvoudig: een aantoonbare, regelmatige deelname. Een deelnamebewijs en een terugkerende afspraak volstaan als basis.

Wie tot de bedrijfsleiding behoort, en wat delegeerbaar is

De bedrijfsleiding bestaat uit de wettelijke vertegenwoordigers van de entiteit, zoals de directeuren van een GmbH of het bestuur van een AG. De plichten uit § 38 BSIG raken deze personen rechtstreeks, ongeacht de omvang van de interne IT.

Delegeerbaar is de operationele uitvoering, niet de verantwoordelijkheid. U kunt de uitvoering overdragen aan een team of een dienstverlener en de bewaking koppelen aan een rapportagelijn; de eindverantwoordelijkheid voor uitvoering en toezicht blijft bij de leiding.

Veelgestelde vragen

Geldt § 38 BSIG ook voor kleine ondernemingen?

Ja, zodra de entiteit als bijzonder belangrijk of belangrijk is ingedeeld. De plichten van de bedrijfsleiding hangen samen met de vraag of de entiteit binnen het toepassingsbereik valt, niet met haar omvang binnen de drempel.

Kan de bedrijfsleiding de verantwoordelijkheid overdragen aan de IT of een dienstverlener?

Nee. De operationele uitvoering is delegeerbaar, de verantwoordelijkheid voor uitvoering en bewaking niet. De eindverantwoordelijkheid blijft bij de leiding.

Welke training voldoet aan § 38 lid 3 BSIG?

De wet schrijft geen specifieke training of certificering voor. Vereist is voldoende kennis om risico's te herkennen en te beoordelen; dit wordt aangetoond door regelmatige, aantoonbare deelname.

Waarvoor is de bedrijfsleiding precies aansprakelijk?

Volgens § 38 lid 2 BSIG zijn leidinggevenden tegenover hun eigen entiteit aansprakelijk voor schade die zij veroorzaken door een verwijtbare schending van hun uitvoerings- en bewakingsplichten. Het gaat om een interne aansprakelijkheid tegenover de onderneming.

Waarin verschilt § 38 van § 30 BSIG?

§ 30 BSIG bepaalt welke maatregelen de entiteit moet nemen. § 38 BSIG bepaalt dat de bedrijfsleiding deze maatregelen uitvoert, bewaakt, zich laat bijscholen en daarvoor aansprakelijk is.

Aan de trainingsplicht van de bedrijfsleiding voldoen
De gratis NIS-2-cursus voor bestuurders brengt de volgens § 38 lid 3 BSIG vereiste kennis over, met deelnamebewijs.