De digitale agenda van de EU voor 2030 zet de koers uit voor een Europese digitale toekomst, met bijbehorende nieuwe wetgeving. Deze nieuwe wetgeving brengt veel wijzigingen en verplichtingen voor allerlei organisaties met zich mee en is daardoor ook voor de M&A-praktijk relevant, omdat de omvang van het due diligence onderzoek zich als gevolg van de nieuwe wetgeving aanzienlijk uitbreidt.
Legal Data Due Diligence
Inmiddels zijn we gewend aan het uitvoeren van een privacy due diligence onderzoek op basis van onder andere de Algemene Verordening Gegevensbescherming (AVG). Echter, een privacy due diligence onderzoek zal nu een te beperkte scope zijn. Het is voorafgaand aan een due diligence onderzoek belangrijk om te weten welke regelgeving relevant is voor een transactie en welke verplichtingen dit voor organisaties met zich meebrengt en (eventueel) de risico’s voor een koper. Bekijk daarom onze online tool op: www.legaldataduediligence.nl om voorafgaand aan een transactie te bepalen welke EU-datawetgeving mogelijk van toepassing is op de target.
Deze blog biedt de M&A-praktijk handvatten voor de Network and Information Security Directive (NIS2) en de Digital Operational Resilience Act (DORA). Per wet gaan we in op de kernverplichtingen, het toepassingsbereik, de risico’s en de aandachtspunten voor de M&A-praktijk.
NIS2
De Network and Information Security Directive (NIS2) heeft als doel om de digitale en economische weerbaarheid van Europese lidstaten te verbeteren door middel van een hoog niveau van cyberbeveiliging.
Uiterlijk 17 oktober 2024 moet de richtlijn in de Nederlandse wetgeving zijn geïmplementeerd via de Cyberbeveiligingswet. Echter, door vertragingen is nog onduidelijk wanneer de implementatie zal zijn afgerond.
Wat zijn de kernverplichtingen?
NIS2 kent drie kernverplichtingen voor organisaties:
- Registratieplicht: entiteiten die als essentieel of belangrijk aangemerkt worden, moeten hun organisatie registreren in het entiteitenregister (in Nederland bij het NCSC).
- Zorgplicht: essentiële en belangrijke entiteiten moeten een risicoanalyse uitvoeren en passende technische, operationele en organisatorische maatregelen treffen ter bescherming van hun netwerk- en informatiesystemen.
- Meldplicht: alle essentiële of belangrijke entiteiten moeten incidenten met aanzienlijke gevolgen onmiddellijk melden bij de toezichthouder en de CSIRTs.
Is de wet van toepassing op de target?
NIS2 richt zich op kritieke organisaties en hun directe leveranciers of dienstverleners. Ook organisaties die indirect leveren aan NIS2-entiteiten kunnen onder de richtlijn vallen. Daarom is het tijdens de due diligence fase belangrijk inzicht te krijgen in het klantbestand van een target.
Om te bepalen of NIS2 van toepassing is, moet gekeken worden naar de sector en de omvang.
1. Relevante sectoren
Een organisatie valt onder NIS2 als zij actief is binnen een van de relevante sectoren genoemd in Bijlage I en II.
| Zeer kritieke sectoren | Andere kritieke sectoren |
|---|---|
| Energie | Post- en koeriersdiensten |
| Vervoer | Afvalstoffenbeheer |
| Bankwezen | Productie en distributie van chemische stoffen |
| Financiële marktinfrastructuur | Productie en distributie van levensmiddelen |
| Gezondheidszorg | Vervaardiging |
| Drinkwater | Digitale aanbieders |
| Afvalwater | Onderzoek |
| Digitale infrastructuur | |
| Beheer van ICT-diensten (B2B) | |
| Overheid | |
| Ruimtevaart |
2. De grootte van de organisatie
Er zijn twee regimes onder NIS2: voor belangrijke en voor essentiële entiteiten. Het verschil zit in de mate van toezicht en de hoogte van boetes.
Essentiële entiteiten: grote organisaties (≥250 werknemers of ≥€50 mln omzet en ≥€43 mln balanstotaal) in sectoren van Bijlage I.
Belangrijke entiteiten: middelgrote organisaties (≥50 werknemers of ≥€10 mln omzet en balanstotaal) in sectoren van Bijlage I en II.
Wat zijn de risico’s?
Niet-naleving van NIS2 kan leiden tot hoge boetes: tot €10.000.000 of 2% van de wereldwijde omzet voor essentiële entiteiten, en tot €7.000.000 of 1,4% voor belangrijke entiteiten.
Waar moet je op letten bij een transactie?
- Is NIS2 direct of indirect van toepassing?
- Is de organisatie geregistreerd in het centraal register?
- Heeft de onderneming een cybersecurity-beleidsplan en risicokader?
- Zijn incidentenmeldingen en audits op orde?
- Is personeel getraind in cybersecurity-procedures?
- Zijn leveranciers en contracten NIS2-compliant?
DORA
De Digital Operational Resilience Act (DORA) heeft als doel financiële organisaties binnen de EU weerbaarder te maken tegen cyberdreigingen. DORA is sinds 17 januari 2023 van kracht, en vanaf 17 januari 2025 moeten ondernemingen voldoen aan de verplichtingen.
Wat zijn de kernverplichtingen?
De verplichtingen uit DORA richten zich op vier pijlers:
- ICT-risicobeheer: opstellen van governance- en controlekaders, risico-analyse, back-up- en herstelplannen, en bewustwording van IT-dreigingen.
- Melden van incidenten: vastleggen, detecteren en melden van ICT-gerelateerde incidenten en dreigingen.
- Testen van operationele weerbaarheid: uitvoeren van risicogebaseerde testen, behalve voor micro-ondernemingen.
- Beheer van ICT-risico bij derde aanbieders: vastleggen van beleid, informatieregister en contractuele eisen voor ICT-leveranciers.
Is de wet van toepassing op de target?
DORA geldt voor bijna alle financiële entiteiten, waaronder banken, verzekeraars, cryptodienstverleners en crowdfundingsplatformen. Ook ICT-leveranciers aan deze instellingen vallen indirect onder DORA.
Wat zijn de risico’s?
Niet-naleving kan leiden tot boetes tot 1% van de wereldwijde gemiddelde dagomzet. In Nederland kan de AFM vergunningen weigeren of intrekken. Voor ICT-leveranciers kan non-compliance leiden tot beëindiging van contracten en waardeverlies.
Waar moet je op letten bij een transactie?
- Is DORA direct of indirect van toepassing?
- Zijn governance- en ICT-risicokaders aanwezig?
- Zijn ICT-inventaris, beveiligingsbeleid en informatieregister op orde?
- Zijn contracten met derde ICT-dienstverleners DORA-compliant?
- Worden periodieke stresstests en audits uitgevoerd?
- Is er een incident response plan en disaster recovery plan?
Conclusie
De nieuwe EU-datawetgeving heeft grote impact op de M&A-praktijk, vooral op het due diligence proces. De scope moet uitgebreid worden met een “Legal Data Due Diligence” om toepasselijke wetgeving, naleving en risico’s in kaart te brengen.
Niet-naleving kan leiden tot hoge kosten, boetes, reputatieschade en waardevermindering. Zowel kopers als verkopers doen er goed aan vooraf te controleren of de wetgeving van toepassing is en of de organisatie compliant is.
Meer weten?
Neem contact op met een van onze specialisten.
Share:
Nieuwe EU-datawetgeving en de M&A praktijk: DSA