Wat als jouw onderneming morgen wordt getroffen door een cyberaanval? Wat als … de productie volledig stilvalt, jouw medewerkers niet meer bereikbaar zijn, vertrouwelijke data verdwijnt (of nog erger online opduikt, zichtbaar voor iedereen).
Je klanten en partners beginnen het vertrouwen te verliezen, de impact is groot. Dan rijst plots de vraag: “Wie is er verantwoordelijk?”
Cybersecurity als hoeksteen van goed bestuur
Cybersecurity werd lang stiefmoederlijk behandeld, vaak stond het niet eens op de radar van veel organisaties, zij leefden in de veronderstelling dat de IT-afdeling dit wel onder controle had.
Het was dus een taak voor de IT onder leiding van de, al dan niet aanwezige, security officer. In werkelijkheid zien we uiteraard dat het veel verder gaat.. Cybersecurity (of beter cyber resilience) is onderdeel van een goed bestuur. Het doel is het waarborgen van de continuïteit van de organisatie, samen met de strategische voordelen, de financiële gezondheid, de reputatie, de intellectuele eigendommen (IP), … .
Vanuit een wettelijk kader (denk maar aan NIS2) wordt dit ook steeds harder benadrukt. Bestuursorganen moeten cyberrisico’s begrijpen, bepaalde maatregelen goedkeuren, toezicht houden en ook bepaalde opleidingen volgen om hun kennis van de materie op peil te houden.
“Cybersecurity hoort vandaag thuis in de bestuurskamer en niet enkel in het IT-team en de serverruimte.”
IT-probleem of bestuursverantwoordelijkheid
De dag van vandaag blijft de stelling “Digitale risico’s zijn uitsluitend een technisch vraagstuk” een hardnekkig probleem, een stelling die we vaak bij eerste kennismakingsgesprekken ervaren.
In werkelijkheid gaat het dus evenzeer om een strategisch/organisatie vraagstuk. Het gaat over risicobeheer:
- Beslissingen nemen over bepaalde prioriteiten
- Beslissingen nemen over investeringen
- Een beleid bepalen voor de toekomst
Is er de dag van vandaag iets fundamenteel veranderd op het vlak van verantwoordelijkheid van bestuurders?
Op het vlak van bestuurdersverantwoordelijkheid zien we duidelijke verschuivingen. Hoewel het waarborgen van de continuïteit al jaren tot de kerntaak behoort, en cybersecurity daar impliciet altijd onder viel, benadrukken nieuwe wetgevingen zoals de NIS 2-richtlijn deze verantwoordelijkheid wel.
Vanuit ACEN bekijken we dit ruimer dan alleen de wettelijke context. Bij ons, als cyber security advisor, ligt de kern op risico’s. Als je de wetgevingen gaat uitpluizen tot op het bot om dan te bepalen wat je wel en niet gaat doen, ga je bedrogen uitkomen.
Iedere ondernemer, hoe groot of hoe klein ook, omarmt de digitaliteit. Het is een krachtige enabler voor iedere business. Bij nieuwe kansen komen onvermijdelijk ook nieuwe uitdagingen. In dit geval Cyberdreigingen. Helaas merken we ook dat ondernemers nogal snel de risico’s van digitaal ondernemen onderschatten.
Het bestuur heeft echter wel de plicht om ervoor te zorgen dat de organisatie op een veilige manier omgaat met hun data én dat de organisatie dus weerbaar genoeg is als er een cyberdreiging op de loer ligt.
Een bedrijfsorgaan dat waakt over de financiële gezondheid, de duurzaamheidsproblematiek of innovatie hoort dat vandaag ook gewoon te doen over de digitale weerbaarheid.
Of anders verwoord… een goed bestuur betekent vooruitkijken, risico’s erkennen, aangepaste strategieën ontwikkelen en daarop gepast handelen. Dat geldt evenzeer voor cybersecurity als voor elk ander domein binnen de onderneming.
Handel als een voorzichtig en redelijk persoon
Hoewel ‘aansprakelijkheid’ zeer juridisch klinkt (en het dat uiteraard deels ook is), gaat het voor ons in essentie over verantwoordelijkheid nemen. In dit geval niet enkel na het cyberincident, maar ook vooraf.
Als bestuurder heb je de plicht om je als een “voorzichtig en redelijk persoon” te gedragen in het belang van de organisatie. Wat wil zeggen dat een bestuurder geen risico’s mag negeren, zeker niet wanneer de signalen hiervoor duidelijk zijn aangetoond.
Als voorbeeld: Je kunt blijven rijden met versleten banden. Je auto rijdt nog, maar je weet dat het risico op een ongeval drastisch stijgt. Zodra dat ongeval gebeurt, kun je niet meer zeggen dat je het niet zag aankomen.
Een goed bestuur is ook een digitaal bestuur
Zoals hierboven reeds aangehaald is cybersecurity niet alleen een technisch verhaal, maar ook een verantwoordelijkheid van het bestuur.
Leid je een bedrijf? Dan moet je uiteraard niet weten hoe een firewall werkt, maar je moet wel begrijpen welke risico’s een cyberaanval kan hebben op de continuïteit en reputatie van je onderneming.
Tips voor een goed digitaal bestuur:
- Zet cybersecurity structureel op de management (Raad van bestuur) agenda.
- Vraag op regelmatige momenten een rapportering van je IT of security team, waarbij je de cybersecurity-maturiteit van je organisatie in kaart brengt en opvolgt.
- Zorg dat je op de hoogte blijft van nieuwe evoluties op cybersecurity vlak door middel van opleidingen (en awareness-sessies)
- Durf jezelf, het volledige bestuur en de organisatie in twijfel trekken. Zorg dat je de juiste vragen stelt. (Hoe kwetsbaar zijn we echt, wat zou een ransomware-aanval voor ons betekenen? Zijn onze medewerkers voldoende bekend met de materie?)
De oplossing?
Een sterke cyber security posture begint met kennis, waar staan we vandaag en waar willen we naar toe? Bij ACEN maken we dit zichtbaar door middel van onze Cybersecurity Maturity Assessments (meer info over onze assessments). Een gestructureerde methode waar we de balans opmaken tussen mensen, processen en technologie.
Om het behapbaar te maken voor bestuurders, zo een assessment vertaalt de technische details naar strategische inzichten zoals:
- Hoe goed zijn onze risico’s in kaart gebracht?
- Welke maatregelen leveren de meeste impact?
- Hoe kunnen we onze middelen efficiënter inzetten?
Onze assessments zijn gebaseerd op het CCB CyberFundamentals framework, ontwikkeld door the Centre for Cybersecurity Belgium. Dit framework consolideert de best practices van wereldwijde standaarden zoals NIST, ISO en de CIS Controls, waardoor we de capaciteiten van jouw onderneming systematisch in kaart kunnen brengen. Op basis daarvan de meest impactvolle stappen kunnen definiëren om jouw cyber security posture meetbaar te verbeteren.
