Opstellen van IT-contracten

Die nieuwe cybersecuritywetgeving noopt bedrijven en overheden om IT-contracten te reviewen en waar nodig te herzien, met bijzondere focus op de beveiligingsclausules.

Ter illustratie: de hiervoor genoemde zorgplicht uit de NIS2 en de Cbw omvat ook de verplichting tot beveiliging van de ‘supply chain’. Dit om ervoor te zorgen dat de cyberbeveiligingsrisico’s bij leveranciers en dienstverleners zoveel mogelijk worden beheerst.

Concreet betekent dit dat de Cbw vereist dat goede contractuele afspraken worden gemaakt met de IT-leveranciers. Dit betekent onder meer dat bij het selectieproces van (IT)leveranciers ook criteria moeten worden gesteld op het gebied van cyberbeveiligingspraktijken. In de contracten zelf moeten bepaalde clausules worden opgenomen, denk bijvoorbeeld aan:

·        de cyberbeveiligingsvereisten waaraan IT-leveranciers moeten voldoen (incl. vaardigheden, opleiding en verificatie van werknemers);

·        het onverwijld in kennis stellen van (significante) incidenten;

·        het recht op controle of het recht om auditverslagen te ontvangen;

·        een verplichting om kwetsbaarheden aan te pakken;

·        vereisten bij uitbesteding/onderaannemers;

·        verplichtingen van IT-leveranciers bij beëindiging contract (zoals verzamelen en verwijderen van verkregen informatie over de klant)

Ook IT-leveranciers zelf moeten ervoor zorgen dat hun contracten waar nodig in lijn zijn met de vereisten die volgen uit de NIS2/Cbw, DORA, CRA of overige cybersecuritywetgeving.  

Onze specialisten helpen u graag met het maken van goede contractuele afspraken (of u nu afnemer bent of IT-leverancier!).