Schade door CrowdStrike: wie gaat dat betalen?

Onze groeiende afhankelijkheid van nieuwe technologie kan flinke problemen veroorzaken voor bedrijven en de samenleving. Dat werd opnieuw pijnlijk duidelijk toen een software-update van beveiligingsbedrijf CrowdStrike wereldwijd het luchtvaartverkeer, ziekenhuizen en een hele rist aan bedrijven lamlegde. En klanten waren boos. Nu de storm is gaan liggen, buigen de getroffen bedrijven over dezelfde vraag: wie gaat er opdraaien voor de geleden schade? CrowdStrike natuurlijk, zou je denken, maar het antwoord is niet zo eenvoudig.

De mogelijkheid voor ondernemingen om CrowdStrike aansprakelijk te stellen voor de schade, hangt af van de toepasselijke contractuele afspraken die tussen de partijen gelden, en die vaak onder buitenlandse wetgeving vallen. Voor veel bedrijven zal het dus een kwestie zijn om de kleine lettertjes in hun contractclausules onder de loep te nemen. Daarin staan vaak verregaande beperkingen van aansprakelijkheid voor de dienstverlener, in dit geval CrowdStrike. Denk aan limieten van claims tot een welbepaald bedrag, al dan niet gekoppeld aan de maximale verzekeringsdekking. Tot zelfs een volledige aansprakelijkheidsuitsluiting voor zogenaamde ‘indirecte schade’ (of gevolgschade).

Service credits

Daarnaast voorzien overeenkomsten vaak ook in de toepassing van service credits. Dat is een soort van financiële vergoeding die geldt wanneer de afgesproken diensten niet werden geleverd. Service credits worden vaak gebruikt in contracten die een bepaalde beschikbaarheid van de dienst garanderen, bijvoorbeeld 95 procent van de tijd. Het gevaar van zulke credits is dat ze soms als de enige vorm van compensatie worden gezien, waardoor verdere vergoedingen voor daadwerkelijk geleden schade niet meer mogelijk zijn. Dat zou in het geval van een incident van deze schaal kunnen zorgen voor een terugbetaling die vele malen kleiner is dan de effectief geleden schade.

Het spreekt voor zich dat cyberincidenten van deze magnitude naast een torenhoge financiële tol, ook vragen rond gegevensbescherming en cybersecurity met zich meebrengen. Daar komt bij dat bepaalde autoriteiten een ‘datalek’ zeer ruim interpreteren. Ook het louter onbeschikbaar zijn van persoonsgegevens gedurende een bepaalde tijd zien sommige autoriteiten als een incident dat gemeld moet worden in lijn met de GDPR-bepalingen. Ook hier moeten de getroffen bedrijven dus rekening mee houden.

Wat nu: NIS2 to the rescue?

De vernieuwde cybersecurity-wetgeving (NIS2) die in oktober in werking treedt verdient ook de nodige aandacht. De wetgeving omvat nieuwe verplichtingen voor tal van ondernemingen in zogenaamde ‘belangrijke’ en ‘kritische’ sectoren op het gebied van preventie van cybergerelateerde incidenten, maar ook op vlak van rapportering van incidenten. Telecombedrijven en financiële dienstverleners moesten al voorbereid zijn op zulke incidenten. Vanaf oktober gelden deze en bijkomende verplichtingen ook voor sectoren zoals IT (vooral clouddienstverleners), gezondheidszorg, energie en transport.

Organisaties die onder NIS2 vallen, zullen verplicht worden een aantal maatregelen te nemen: de preventieve bescherming verstrengen, het management opleiden omtrent cybersecurity, en cyberincidenten meteen melden aan het CCB – zelfs als er geen impact is op persoonsgegevens.

Als het CrowdStrike-incident ons iets geleerd heeft, dan is het dat er nog altijd meer bewustwording nodig is rond cybersecurity. Bedrijven moeten op de hoogte zijn van de wettelijke verplichtingen waaraan zijzelf of hun IT-dienstverleners zich moeten houden. Zeker in sterk cloudafhankelijke ondernemingen zijn er duidelijke afspraken nodig over de continuïteit van de dienstverlening, eventuele minimumgaranties en het afsluiten van een cyberrisicoverzekering.

Op dit moment zal de mogelijke aansprakelijkheid van CrowdStrike evenwel vooral worden bepaald door de concrete afspraken in de huidige contracten.