Niemand zit te wachten op Captain Hindsight

Op de kapitaalmarkt geldt: wie beschikt over koersgevoelige informatie, moet die onverwijld openbaar maken. Transparantie is een juridische plicht die beleggers beschermt en het vertrouwen in het systeem versterkt.

Voor datalekken ligt die lat minder expliciet in het publieke domein, terwijl ook hier de maatschappelijke impact groot is. We zien inmiddels bijna wekelijks hoe snel zo’n incident het publieke vertrouwen raakt. Door de NIS2-richtlijn verandert dit voor bedrijven die bijdragen aan kritieke infrastructuur in Europa. Organisaties die actief zijn in onder andere energie, zorg, voedselvoorziening, telecom en financiële dienstverlening hebben een zorg- en meldplicht richting toezichthouders, met bestuurlijke verantwoordelijkheid die persoonlijk kan doorwerken. Incidenten met significante impact moeten binnen strikte termijnen worden gemeld.

Een groot cyberincident raakt direct aan de waardering en reputatie. Het heeft mogelijk invloed op contracten, aansprakelijkheid, financieringsvoorwaarden en klantvertrouwen. In beursgenoteerde context kan zo’n incident zelfs koersgevoelig zijn. Transparantie wordt dan een verplichting, ook wanneer dit schuurt met lopend forensisch onderzoek, herstelwerkzaamheden of veiligheidsbelangen.

De NIS2-meldplicht is gericht op toezichthouders en op het beperken van maatschappelijke schade. De meldplicht voor koersgevoelige informatie moet toezien op gelijke informatievoorziening. Die regimes lopen niet automatisch gelijk. Een onderneming kan op grond van NIS-2 al binnen 24 uur een melding moeten doen, terwijl intern nog wordt onderzocht wat de impact is. Dat dit een lastige afweging is, zagen we de afgelopen maanden ook bij grote datalekken in Nederland. Eerst kwam de melding, pas later volgt informatie over omvang en impact. Begrijpelijk vanuit onderzoeksperspectief, maar klanten of betrokkenen van wie gegevens op straat liggen hebben daar geen boodschap aan.

Een beursgenoteerde bank die doelwit is van een cyberaanval waarbij persoonsgegevens zijn buitgemaakt, heeft naast de Autoriteit Persoonsgegevens ook nog te maken met de AFM en DNB. Bij vermoedens van statelijke betrokkenheid komen daar nog nationale veiligheidsinstanties bij. Met zoveel juristen die meekijken, ontstaat al snel de reflex om vooral níéts voorbarigs te zeggen. Toch staat vast dat organisaties op enig moment iets moeten communiceren. Ook als niet alle feiten bekend zijn. Juist dit eerste moment is bepalend voor hoe besluitvaardig bestuurders achteraf worden gezien. De uitdaging is het vinden van de juiste balans: transparantie richting klanten, aandeelhouders en media, zonder juridische kaders of lopend onderzoek te doorkruisen.

De Europese marktmisbruikverordening (MAR) biedt ruimte om publicatie van koersgevoelige informatie uit te stellen als onmiddellijke openbaarmaking het belang van de onderneming schaadt, mits vertrouwelijkheid wordt gewaarborgd. Bij een grootschalig cyberincident staat die vertrouwelijkheid meestal direct onder druk. Lekken, geruchten en operationele verstoringen vergroten het risico op informatie-ongelijkheid. En ondertussen verwachten klanten, media en toezichthouders gewoon antwoord.

Te vroeg communiceren veroorzaakt onrust en kan onderzoek frustreren. Te laat communiceren wordt uitgelegd als gebrek aan transparantie en regie. Dat zagen we ook terug in de reactie op recente grote datalekken, waar de kritiek niet alleen ging over de hack zelf, maar vooral over het gevoel dat klanten te laat en beperkt werden meegenomen in wat er precies was gebeurd. Het gevoel van gebrek aan controle blijft langer hangen dan het incident zelf.

Het is duidelijk dat geen enkele organisatie immuun is voor hacks, ook niet wanneer processen formeel op orde zijn. Daarom vragen overheden, als onderdeel van de NIS-2 wetgeving, nu ook om duidelijke governance vóórdat een incident zich aandient. Organisaties moeten risicoanalyses uitvoeren, afhankelijkheden in kaart brengen en voorbereid zijn op scenario’s waarbij dienstverlening of maatschappelijke continuïteit onder druk komt te staan. Daar hoort ook de vraag bij hoe je communiceert als de druk maximaal is, maar de feiten onvolledig.

Bij fysieke incidenten met grote maatschappelijke impact, zoals een brand op een chemisch complex, zijn crisisstructuren en communicatiedraaiboeken al jaren vanzelfsprekend. Daarbij is vooraf nagedacht over de communicatie naar autoriteiten, medewerkers en direct betrokkenen. Organisaties die werken met grote hoeveelheden gevoelige data moeten daarvan leren. Bij cyberincidenten moet communicatie onderdeel zijn van de voorbereiding. Liever een welgemeend en voorbarig ‘we zitten er bovenop’ dan een te laat mea culpa met ‘we hebben lessen getrokken uit’.