Cybersecurity als gamechanger in M&A
Door Gigi van Hout, Willem Quax & Chaggai Kon
Introductie
Waar due diligence tot voorkort gericht was op het in kaart brengen van met name financiële, fiscale en juridische risico’s, zien we in de markt een snelle en onomkeerbare verandering ten aanzien van cybersecurity.
De voortschrijdende digitalisering in combinatie met nieuwe Europese cyberwetgeving vragen immers om een andere focus: het tijdig identificeren en beheersen van cyberbeveiligingsrisico’s.
De vraag is niet langer óf een cyberincident zal plaatsvinden, maar wanneer en, nog belangrijker, hoe (snel) een organisatie daarvan kan herstellen. Cybersecurity ontwikkelt zich daarmee tot een doorslaggevende factor in de waardebepaling van een onderneming.
Een datalek of ransomware-aanval kan directe gevolgen hebben voor de bedrijfsvoering, reputatie, boetes van toezichthouders en zelfs tot mogelijke aansprakelijkheid van bestuurders leiden. Cybersecurity is daarmee niet langer een nice-to-have, maar een strategisch en essentieel juridisch onderdeel van het due diligence proces, dat de kern van transacties raakt.
Cyber due diligence is onmisbaar
Met de komst van Europese wetgeving zoals de NIS2-richtlijn (NIS2), de Cyber Resilience Act (CRA) en de Digital Operational Resilience Act (DORA) neemt het belang van cybersecurity als onderwerp waarnaar onderzoek moet worden gedaan toe.
De digitale weerbaarheid van een onderneming is niet alleen van invloed op de risico’s, maar door het groeiende landschap van wet- en regelgeving heeft het ook vergaande gevolgen voor compliance van de onderneming.
Waar NIS2 zich richt op een breed scala aan essentiële en belangrijke entiteiten in verschillende sectoren, vormt DORA als lex specialis een aanvulling met specifieke en meer gedetailleerde verplichtingen voor financiële instellingen ten aanzien van hun digitale operationele weerbaarheid.
Handelen in strijd met deze nieuwe Europese cyberwetgeving kan leiden tot boetes en ook tot schorsing of aansprakelijkheid van bestuurders en commissarissen als zij onvoldoende controle hebben over respectievelijk toezicht houden op de cyberweerbaarheid van hun onderneming.
Het gaat erom in hoeverre de onderneming de specifieke risico’s binnen haar organisatie kent en op basis daarvan passende risicobeperkende maatregelen heeft genomen.
In de praktijk komt het geregeld voor dat bestaande cyberbeveiligingsrisico’s pas na de transactie zichtbaar worden, bijvoorbeeld nadat een datalek of ransomware-aanval heeft plaatsgevonden. Op dat moment blijkt dat beveiligingsmaatregelen onvoldoende zijn, oude en risicovolle IT-systemen worden gebruikt, of dat procedures niet op orde zijn om adequaat te reageren op bijvoorbeeld ransomware. Daarbij speelt dat bestuurders onvoldoende op de hoogte zijn van de informatiebeveiliging binnen de organisatie.
In het kader van een due diligence moet cybersecurity daarom als een op zichzelf staand onderdeel van het onderzoek worden beschouwd. Een grondig cyber due diligence brengt eventuele risico’s vroegtijdig aan het licht en biedt inzicht in de kwaliteit van IT- en beveiligingsstructuren, naleving van wet- en regelgeving, contractuele afspraken met derden en het cyberbewustzijn binnen de organisatie.
De SPA die wordt opgesteld op basis van de bevindingen uit de cyber due diligence bevat idealiter specifieke garanties die zien op de procedures rondom monitoring, patch-management en incidentresponses.
NIS2 en bestuurdersaansprakelijkheid
Bestuurders staan steeds nadrukkelijker in de schijnwerpers: cybersecurity kan niet langer uitsluitend (intern) worden uitbesteed aan bijvoorbeeld een security officer. Op basis van NIS2 moeten bestuurders zelf over de kennis en kunde beschikken om de cyberrisico’s specifiek voor hun organisatie te kennen, begrijpen en daar adequaat naar te handelen en toezicht op te houden.
Daarmee rust op bestuurders een expliciete zorgplicht voor de cyberweerbaarheid van hun organisatie. Dat betekent in de praktijk dat zij zich actief moeten laten informeren of opleiden om risico’s te kunnen identificeren, beoordelen en effectief toezicht te kunnen houden.
In de context van overnames hebben deze nieuwe zorg- en kennisverplichtingen van bestuurders van ondernemingen een directe impact. Wanneer tijdens het due diligence onderzoek blijkt dat de doelwitvennootschap onvoldoende maatregelen heeft genomen om cyberrisico’s te beheersen, kan dat niet alleen wijzen op gebrekkige compliance, maar ook aansprakelijkheid tot gevolg hebben.
Zulke bevindingen kunnen de onderhandelingspositie aanzienlijk beïnvloeden en kunnen in het uiterste geval een dealbreaker zijn waardoor de transactie niet meer doorgaat.
Conclusie
De combinatie van toenemende digitalisering en nieuwe Europese wetgeving, zoals NIS2 en DORA, maakt cybersecurity tot een onmisbaar onderdeel van het M&A-proces.
Een grondig cyber due diligence biedt inzicht in de naleving van wet- en regelgeving, de kwaliteit van IT-structuren en de algehele cyberbeveiliging van een doelwitvennootschap. Dat maakt het mogelijk om de risico’s vroegtijdig te signaleren, zodat passende maatregelen kunnen worden getroffen om deze af te dekken.
Tegelijkertijd komt de verantwoordelijkheid van bestuurders nadrukkelijk in beeld. Een gebrek aan passende maatregelen of een gebrek aan kennis en vaardigheden van bestuurders kan niet alleen leiden tot financiële schade of reputatieverlies, maar ook tot aansprakelijkheid van de bestuurders.
Cybersecurity is daarmee niet langer enkel een technisch aandachtspunt, maar een strategische bepalende factor die rechtstreeks de waardering en onderhandelingspositie beïnvloedt. Ondernemingen die cybersecurity niet slechts als verplichting of formaliteit zien, maar als een cruciaal onderdeel van de bedrijfsvoering, versterken hun digitale weerbaarheid en vergroten het vertrouwen van kopers en andere stakeholders. Daarmee leggen zij een stevig fundament voor een succesvolle transactie.
Gigi van Hout is advocaat en manager binnen het Digital, Cyber & Privacy-team van HVG Law in Amsterdam.
Willem Quax is werkzaam binnen de expertise Digital, Cyber & Privacy bij HVG Law.
Chaggai Kon is partner in de expertise Corporate M&A bij HVG Law.
HVG Law is partner van de M&A Community
