De organisatie heeft een ‘handreiking’ gepubliceerd, een overzicht van de geldende wetten en regels en adviezen aan bedrijven.
De CSR heeft het (demissionaire) kabinet geadviseerd om zelfregulering ten aanzien van ‘zorgplichten’ te stimuleren, het voortouw te nemen in een discussie hierover, en de wetgeving van Europese lidstaten op elkaar af te stemmen. Ook werkgeversorganisatie VNO-NCW heeft het advies gekregen om de kennis over cybersecurity te stimuleren.
Ieder bedrijf heeft de verplichting de eigen digitale beveiliging goed op orde te hebben, in afstemming met andere partijen waarmee wordt samengewerkt. Een schending van deze ‘zorgplichten’ kan leiden tot aansprakelijkheid. Dit geldt ook voor software, mobiele telefoons, of andere producten of diensten met een ICT-toepassing: die moeten adequaat beschermd zijn tegen hacken. De CSR stelt echter dat dat alleen mogelijk is, als beveiliging al in de ontwerpfase die aandacht krijgt.
Daarnaast zijn er bedrijven die hun verantwoordelijkheid bewust negeren en vervolgens aansprakelijkheid trachten te ontlopen via ontsnappingsclausules in contracten. Dit is niet toegestaan onder het consumentenrecht, en ook onder het ondernemingsrecht valt niet alle verantwoordelijkheid uit te sluiten. De Raad verwacht dat leveranciers vaker te maken zullen krijgen met rechtszaken waarin ze aansprakelijk worden gesteld.
