Voor een Beveiligingskloof, Het is van essentieel belang bedrijf handelen met maximale snelheid en toewijding, maatregelen nemen zoals Informeer uw klanten of derden,, Zowel om de aanval te beheersen als om de effecten ervan te verzachten. Een late of ongepaste reactie kan de schade verergeren en een schending van de huidige voorschriften aannemen, wat kan leiden belangrijke sancties.
De cyberaanvallen nemen niet alleen niet af, maar blijft toenemen. In een recente zin regeerde de opperste dochteronderneming burgerlijke aansprakelijkheid van een bedrijf door Probeer geen cyberaanval te bedwingen en de effecten ervan te beperken. Hij was van mening dat het gevraagde bedrijf de verschuldigde regels als een professional negeerde en dat het daarom subsidiair moest reageren op de compensatie van schade aan een ander bedrijf, gelijk aan het door de Scammer afgenomen bedrag.
In andere gevallen kunnen ook andere juridische overwegingen optreden serieuzer als gevolg van een gegevensfiltratie, omdat het de persoonlijke gegevens beïnvloedt en/of de download van piratensoftware bevat Het zou zelfs kunnen dragen Criminele gevolgen Voor bedrijven hebben ze gewaarschuwd voor AGM Abogados. Elk bedrijf, ongeacht de grootte, kan een slachtoffer zijn van dit groeiende fenomeen.
- De bedrijven die niet op tijd handelen, zijn volgens de Supreme verantwoordelijk
- Risico's en gevolgen voor het zelfbewerkingen van een beveiligingskloof
De bedrijven die niet op tijd handelen, zijn volgens de Supreme verantwoordelijk
Zoals Clera Carrera Soler meldde van AGM Abogados, als een autonome een aanval detecteert en klanten of leveranciers niet waarschuwt, zelfs als het niet de auteur van fraude is, kan dit uiteindelijk civiel omdat zijn weglating “leidde” om te worden voltooid door misleidingvolgens de Supreme.
In een recente straf (STS nr. 136/2025, van 19 februari) was een bedrijf verantwoordelijk voor de schade die werd veroorzaakt aan een tweede bedrijf dat werkte dat in een hoax viel, wat resulteerde in de zwendel van enkele duizenden euro's.
Hij Artikel 120.3 van het Wetboek van Strafrecht (CP) Betekent dat zij civilly verantwoordelijk zullen zijn, bij afwezigheid van de criminele managers:
“3. Natuurlijke of juridische personen, in gevallen van misdaden gepleegd in vestigingen Van degenen die houders zijn, wanneer door degenen die regisseren of beheren, of hun afhankelijke of werknemers, de politievoorschriften of de bepalingen van de autoriteit die verband houden met de strafbaar toegewijd, zodat dit Het zou niet zijn gebeurd zonder zo'n overtreding. ”
Dit betekent dat de computersysteem van bedrijven wordt beschouwd als onderdeel van de vestiging van het bedrijf. Daarom, als er enige onregelmatigheid is die klanten of leveranciers beschadigt, kan het bedrijf civillijk verantwoordelijk zijn.
Zoals Vanesa Alarcón Caparrós van AGM Abogados uitlegde: “Het zal afhangen van de omstandigheden, maar de autonome Had niet voldoende beveiligingsmaatregelen En dat heeft een Schade bij derden Voor die niet -adoptie van maatregelen, ja, het zou kunnen worden. ”
Het weglaten van verantwoordelijkheid wordt als een overtreding beschouwd
Als een autonome of MKB detecteert een incidentie in zijn digitale omgeving en doet er niets aan, dat wil zeggen, Neemt geen enkele maatregel aan om te waarschuwen Aan andere bedrijven, klanten of leveranciers die in hun database zijn, wordt deze weglating beschouwd als een inbreuk Regelgeving onder de voorwaarden van artikel 120.3 CP. Vooral als, als gevolg daarvan, iemand anders wordt getroffen.
Bovendien herinnert de Supreme zich dat de overtreding niet nodig is om de directe en unieke oorzaak van schade. Het is genoeg dat er een is adequate causaliteitsratio tussen die overtreding en de uiteindelijke schade. Daarom, als het bedrijf, niet op de hoogte stellen, Het is voorstander of faciliteert Moge de fraude optreden, zelfs als het deze niet rechtstreeks heeft uitgevoerd, zou worden begrepen dat er voldoende verbinding is.
Dat wil zeggen, het is niet vereist dat, zonder de overtreding, de schade absoluut onmogelijk zou zijn geweest, maar dat omissie relevant bijdragen te voorkomen.
Risico's en gevolgen voor het zelfbewerkingen van een beveiligingskloof
De effecten van een compromis van computersystemen in een bedrijf zijn niet beperkt tot onmiddellijke economische schade of de reputatie -affectie die het zou kunnen genereren. Voor zelfstandige werkzaamheden en MKB -bedrijven, kan gebrek aan actie of late kennisgeving worden vertaald in miljonairsancties en, in bepaalde gevallen, zelfs in strafrechtelijke verantwoordelijkheden.
Sancties voor niet alert
Communiceer geen beveiligingskloof Binnen de gevestigde wettelijke term kunnen de freelancers en het MKB -bedrijven erg duur zijn. Voorschriften voor gegevensbescherming beschouwen deze weglating als een ernstige overtredingdie kan dragen Boetes van maximaal 10 miljoen euro of 2% van het wereldwijde jaarlijkse bedrijfsvolumeafhankelijk van het hoogste figuur. In de ernstigste gevallen kan de sanctie zelfs de 4% van de facturering.
Zoals uitgelegd door Vanesa Alarcón Caparrós, advocaat van AGM -advocaten, “is elke sanctie gebaseerd op de gepleegde overtreding en de ernst ervan. Normaal gesproken zou de niet -samenwerking een ernstige overtreding van de voorschriften vormen, maar de details van elke zaak zouden moeten worden gezien.” Deze overtredingen voorschrijven op twee jaarna die tijd, hoewel er wordt ontdekt dat de autonome of het MKB niet de computeraanval heeft gecommuniceerd, kunnen ze niet langer administratief worden bestraft.
Bovendien herinnerde de expert aan dat deze administratieve sancties van de AEPD onafhankelijk zijn van het mogelijke dochteronderneming civiele aansprakelijkheid tegen derden die schade oplopen. “Ze zijn onafhankelijk en Ze kunnen aanwezig zijn. Een boete zal worden opgelegd door de bevoegde autoriteit, zoals de AEPD, door administratieve route; En tegelijkertijd kan de getroffen gebruiker zijn rechten vóór de rechtbanken claimen, 'voegde hij eraan toe.
Mogelijke criminele gevolgen
Vanesa Alarcón waarschuwde ook dat, na de burgerlijke aansprakelijkheid die een veiligheidskloof met zich meebrengt, “als de werkgever het toestaat”, kunnen er ook meer ernstige gevolgen zijn, van die gerelateerd aan de schending van het auteursrecht Criminele gevolgenBijvoorbeeld, Als er een download is van illegale software.
Artikel 270 van het Wetboek van Strafrecht stelt dus op: Zal worden gestraft met de straf van Gevangenis van zes maanden tot vier jaar En Fijn van vierentwintig maanden Degene die, met de bedoeling een direct of indirect economisch voordeel te verkrijgen en ten koste van de derde van zijn toegepaste.
“Als dit feit is om te installeren, kan dit type software soms de Virusinstallatie die soms gepaard gaan met de piratensoftware, je zou een dubbele veiligheidskloof kunnen hebben, die toegang kunt geven tot uw client -systemen of gegevens, waarmee de Schade kan nog groter zijn”, Verduidelijkte de advocaat.
De bedrijfsreputatie kan worden beïnvloed
De impact van een incident op cybersecurity in een klein bedrijf of een MKB veroorzaakt niet alleen juridische sancties of verantwoordelijkheden, het kan ook het vertrouwen van klanten en leveranciers in gevaar brengen, wat de levensvatbaarheid van het project beïnvloedt.
De manier waarop het incident wordt beheerd, is de sleutel tot het behoud van de geloofwaardigheid in de markt. Zoals Alarcón opmerkte: “Als u snel, effectief handelt en de Stappen en geschikte maatregelende impact zal minder zijn; Maar als het niet goed wordt bijgewoond, wordt wat er is gebeurd gefilterd en nog steeds niet reageert, kan het iets ernstigers, viralers worden en daarmee grotere schade aan het bedrijf ”.
Dit is de reden waarom het hebben van crisisbeheerprotocollen die zowel het juridische als het communicatieve aspect integreren essentieel is. Ze moeten nadenken over de opzegging en forensische analyse Van wat er is gebeurd tot Kennisgeving van de incidentie van de AEPD en de getroffen gebruikersevenals de communicatiestrategie met klanten en media.
Als de affectie belangrijk is, moet deze worden gemeld
Niet alle beveiligingsfouten dwingen klanten en leveranciers. De verplichting is geboren wanneer het volume van de getroffen gegevens hoog is of wanneer de incidentie een ernstige impact kan hebben op de fundamentele rechten van de betrokken mensen. In die gevallen moet het bedrijf, naast het op de hoogte stellen van de AEPD, ook de getroffen bedrijf waarschuwen.
Zoals Vanesa Alarcón Caparrós uitlegde: “Het moet Voer een analyse uit Altijd om te zien hoe ver de invloed van rechten komt en wie beïnvloedt, evenals de ernst ervan. Het is niet altijd verplicht om op de hoogte te stellen, maar dat is het essentieel om de analyse te documenterenregistreer het incident intern en rechtvaardigen waarom het niet werd op de hoogte gebracht, evenals de maatregelen die zijn genomen om te proberen dat dit feit niet opnieuw zal worden geproduceerd ”.
Als het bedrijf geen afgevaardigde van gegevensbescherming (DPO) heeft, moet dit wijs een interne persoon aan die de leiding heeft Dat veronderstelt de functie van het coördineren en beheren van de reactie op de incidentie, het zoeken naar externe ondersteuning indien nodig om de naleving van de voorschriften te garanderen.
