Wat betekent "aantoonbaar in control" zijn eigenlijk voor bestuurders?

De vraag die straks gesteld wordt, is niet of je organisatie beveiligingsmaatregelen heeft. De vraag is of het bestuur kan laten zien dat digitale risico’s worden beheerst. En daarmee wordt cybersecurity ineens een stuk minder technisch. En een stuk bestuurlijker.

Van techniek naar governance

Gaat er een serieus cyberincident mis, dan kijken toezichthouders en auditors niet alleen naar de techniek. Ze kijken vooral naar de organisatie erachter.

Wist het bestuur welke digitale risico’s er speelden? Waren er maatregelen genomen om die risico’s te beperken? Hield iemand toezicht op die maatregelen? En werden signalen van problemen ook echt opgevolgd?

Het zijn vragen die niet over firewalls gaan, maar over leiderschap. Over weten wat er speelt en daar bewust op sturen.

Cybersecurity verschuift zo van een technisch onderwerp naar een vast onderdeel van governance en risicomanagement. Het is niet langer iets dat de IT-afdeling in haar eentje regelt op de achtergrond. Het bestuur draagt er verantwoordelijkheid voor en moet daar ook op aanspreekbaar zijn.

In control betekent niet dat alles perfect is

Hier zit een hardnekkig misverstand. Veel ondernemers denken dat ze volledig veilig moeten zijn voordat ze in control zijn. Dat kan niemand. Geen enkele organisatie sluit alle cyberrisico’s uit, hoe groot het budget ook is. Een aanval die je nog nooit hebt gezien, kun je nu eenmaal niet volledig dichttimmeren.

In control zijn betekent iets anders. Het betekent dat je je risico’s kent, bewuste keuzes maakt, maatregelen neemt die bij die risico’s passen, en kunt laten zien dat je dat structureel doet. Het gaat dus niet om perfectie, maar om aantoonbaar risicobeheer.

Vergelijk het met brandveiligheid. Je hoeft geen brandweerkazerne in je pand te hebben. Maar je hangt wel rookmelders op, je weet waar de nooduitgang zit en je oefent af en toe een ontruiming. Niemand verwacht dat er nooit brand uitbreekt. Wel dat je hebt nagedacht over wat je doet als het gebeurt.

Drie dingen die op orde zijn

Organisaties die aantoonbaar in control zijn, hebben in de praktijk drie dingen geregeld. Geen ingewikkelde modellen of dikke rapporten, gewoon drie zaken die je echt op orde wilt hebben.

Het eerste is inzicht in digitale risico’s. Je weet welke systemen kritisch zijn voor je bedrijfsvoering, waar je gevoelige data staat en welke kwetsbaarheden er zijn. Niet tot achter de komma, maar genoeg om overzicht te houden en prioriteiten te stellen.

Het tweede zijn structurele beveiligingsmaatregelen. Denk aan toegangsbeheer, monitoring, patchmanagement, detectie van verdachte activiteit en een helder plan voor als het toch misgaat. Belangrijker nog, deze maatregelen zijn structureel ingericht en niet bij elkaar geraapt. Cybersecurity is dan geen verzameling losse tools meer, maar een samenhangende aanpak.

Het derde is bestuurlijk toezicht. Cybersecurity is geen onderwerp dat een keer per jaar even langskomt op de agenda. Bestuurders krijgen periodiek zicht op de digitale risico’s, op incidenten en dreigingen, op de genomen maatregelen en op de verbeteracties die lopen. Zo wordt cybersecurity onderdeel van gewoon besturen.

Waarom dit voor veel organisaties nieuw voelt

De meeste organisaties zijn gewend dat IT vooral operationeel wordt beheerd. De IT-afdeling zorgt dat systemen draaien, lost problemen op en voert updates uit. Voor de dagelijkse gang van zaken werkt dat prima.

Maar de Cyberbeveiligingswet vraagt meer. Niet enkel dat de boel blijft draaien, maar dat het bestuur verantwoordelijkheid neemt voor digitale risico’s. En dat vraagt om meer structuur, inzicht en rapportage dan veel organisaties vandaag in huis hebben. Herken je dat gevoel? Dan ben je zeker niet de enige.

De vraag die je jezelf nu moet stellen

De Cyberbeveiligingswet is nog niet van kracht. Toch is de belangrijkste vraag nu al relevant. Niet of je cybersecuritytools hebt aangeschaft. Wel of je kunt aantonen dat je je digitale risico’s beheerst.

Cyberincidenten blijven gebeuren. De vraag die daarna gesteld wordt, is niet wat er technisch misging. De vraag is wat het bestuur wist en wat het daarmee heeft gedaan.

Wil je weten of jouw organisatie daar klaar voor is? We denken graag met je mee en brengen  helder in kaart waar je staat en wat een logische volgende stap is.