'Cyber security: van dataroom naar boardroom'
25 april 2024
In een wereld waar cyberrisico’s en digitale dreigingen exponentieel groeien, is het essentieel dat bestuurders en toezichthouders beschikken over actuele kennis en inzicht in cyber resilience. Martijn Dekker is global chief information security officer bij ABN AMRO en spreker in het programma Cyber Resilience for Boards van Nyenrode Business Universiteit. “Cyber security gaat al lang niet meer alleen de IT-afdeling aan.”
“Organisaties zijn de afgelopen jaren in grote mate afhankelijk geworden van verregaande digitalisering”, vertelt Dekker. “Daarmee ontstaan tegelijkertijd existentiële risico’s. Het gaat daarbij niet alleen om cybercrime, zoals randsomware, maar ook om het falen van IT-systemen. Cyber resilience is daarmee een groot strategisch onderwerp geworden, dat zich heeft verplaatst van de dataroom naar de boardroom.”
Wetgeving
Eind 2024 wordt in Nederland de nieuwe ‘Network and Information Security’-richtlijn (NIS2) van kracht, de opvolger van de NIS-richtlijn. Deze richtlijn is een initiatief van de Europese Unie en stuurt op risico’s die netwerk- en informatiesystemen bedreigen. Daarnaast omvat NIS2 ook meer sectoren dan NIS, zoals de energiesector en overheidsdiensten. “Een gevolg van de nieuwe wetgeving is dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor een verwijtbaar gebrek aan weerbaarheid van de organisatie”, legt Dekker uit. “Door de nieuwe wetgeving zijn bestuurders en toezichthouders dus verplicht om voldoende kennis te hebben over cyber security en hier strategische beslissingen over te nemen. Dat betekent niet dat zij zelf een inhoudelijk expert hoeven te worden, maar het houdt wèl in dat ze moeten weten hoe de cyber security binnen hun eigen organisatie geregeld is.”
Risk appetite
In zijn college geeft Dekker concrete handvatten waarmee bestuurders en toezichthouders aan de slag kunnen in hun eigen organisaties. Het gaat er daarbij om dat ze meer kennis ontwikkelen, hun eigen rol beter begrijpen en die rol aantoonbaar kunnen uitvoeren. “Ik wil de deelnemers helpen om binnen hun organisatie het juiste gesprek te voeren, zoals met een chief information security officer. Daar hoort ook het stellen van de juiste vragen bij. Wat ze dan vooral niet moeten vragen is: zijn we veilig? Daar valt namelijk geen antwoord op te geven. Vragen die bestuurders en toezichthouders wel kunnen stellen zijn: van welke dreigingen lig je wakker? Wat is onze securitystrategie en hoe ziet deze er binnen onze organisatie uit? Wanneer heb je voor het laatst een securitytest uitgevoerd en wat is er gedaan met de bevindingen? En wat doe je om voldoende bewustwording te creëren bij de medewerkers?” Een onderwerp dat volgens Dekker belangrijk is om te bespreken is de risk appetite: de risicotolerantie. Dit geeft aan hoeveel risico de organisatie bereid is te accepteren ten aanzien van in dit geval cyber security, en dus ook welk risico niet wordt geaccepteerd. “Door hier duidelijkheid in te creëren, kan je als bestuurder of toezichthouder betere afwegingen maken.”
Actieve rol
Bestuurders moeten voortaan dus een actieve rol hebben in de cyber resilience van hun organisatie. “Dat betekent dat dit onderwerp regelmatig op de agenda moet staan en dat een dashboard en goede managementinformatie nodig zijn”, zegt Dekker. “Het is bovendien belangrijk dat de chief information security officer aanwezig is om die informatie te duiden en zo in onderling overleg keuzes te maken en een strategie vast te stellen. Want één ding is zeker: je kan dit simpelweg niet meer delegeren.”
In het programma Cyber Resilience for Boards staan onderwerpen met betrekking tot dreigingen, risico's en snel gaande technologische ontwikkelingen centraal. Hoe kan je als bestuurder en/of toezichthouder ervoor zorgen dat je in staat bent sturing te geven aan, dan wel toezicht te houden op, het beleid van je eigen organisatie?
Dr. Martijn Dekker is een van de sprekers tijdens het programma Cyber Resilience for Boards.
Het programma Cyber Resilience for Boards maakt onderdeel uit van de serie 'Board Essentials'. Permanente Educatie waarmee jij je als bestuurder of commissaris kan verdiepen in de actuele thema’s die in de boardroom spelen. Bekijk hier de hele serie 'Board Essentials'.
Nyenrode deelt kennis met nieuwsgierige professionals. Abonneer je op News@Nyenrode voor al het Nyenrodenieuws.