Bestuurders: Cybersecurity is een kerntaak voor jullie
- Cybersecurity is een strategisch risico en dus een verantwoordelijkheid van het bestuur, niet alleen van de IT-afdeling.
- De Cybersecurity Raad biedt een handreiking met concrete actiepunten voor bestuurders om effectief toezicht te houden.
- Werken met raamwerken en regelmatige evaluatie helpt risico’s beheersbaar te maken zonder op elk detailniveau in te zoomen.
- Lees ook: Governance-artikel in wetsvoorstel NIS2 geeft bestuurder te veel ruimte
Cyberrisico’s zijn strategisch en behoren niet langer tot enkel de IT-afdeling. ICT is vaak een primair bedrijfsproces. Verstoringen kunnen daarom bedrijfscontinuïteit ernstig aantasten. Cybersecurity is daarom chefsache, geen onderwerp om te delegeren, waarschuwt de Cybersecurity Raad.
Cybersecurity is essentieel voor het functioneren van elke organisatie, groot of klein en publiek of privaat. Digitale verstoringen kunnen grote gevolgen hebben voor de continuïteit van de bedrijfsvoering, maar ook voor de reputatie en de financiële positie van organisaties. De bestuurders zijn volgens het Burgerlijk Wetboek verantwoordelijk voor het beheersen van de risico’s. Wanneer nalatigheid wordt geconstateerd, kunnen zij hoofdelijk aansprakelijk worden gesteld.
De Cybersecurity Raad (CSR) heeft daarom de ‘Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren’ gepubliceerd.
Daarin staat een groot aantal actiepunten opgesomd:
- Organiseer een bestuurstraining over cybersecuritymet betrokkenheid van de CISO en CIO, net als van de risicomanagement- en juridische afdelingen.
- Stel kritieke vragen aan de CISO over risico’s, controles, incident response en leveranciersonafhankelijkheid.
- Keur de cyberstrategie en risicobeheersmaatregelen goed en houd toezicht op de uitvoering.
- Zorg voor heldere governance met duidelijke mandaten, middelen en rapportagelijnen.
- Voer periodieke evaluaties en tests uit, inclusief tabletop-oefeningen en red teaming.
- Bepaal en meet Key Control Indicators (KCI’s) en laat hierover periodiek rapporteren.
- Zorg voor security-by-design, breid toezicht uit naar de toeleveringsketen en eigen digitale producten.
- Voldoe aan externe rapportageverplichtingen richting toezichthouders, aandeelhouders en verzekeraars.
- Zorg dat bestuurders de vereiste kennis en vaardigheden verwerven en bijhouden.
- Pas aansprakelijkheidsverzekeringen aan op nieuwe wettelijke verantwoordelijkheden.
Checklist op de bestuursvergadering
De CSR raadt de bestuurders aan te organiseren dat de antwoorden op de kernvragen uit de handreiking op regelmatige basis — bij voorkeur elk kwartaal — bij het bestuur op de agenda komen.
Daarbij moet er speciale aandacht zijn voor de context van incidenten, dreigingen en andere relevante ontwikkelingen. Cyberdreigingen ontwikkelen zich immers snel onder invloed van technologische innovatie of door geopolitieke spanningen.
Bestuurders kunnen alleen effectief toezicht houden als ze goed geïnformeerd zijn. Daarbij is het belangrijk dat zij niet alleen begrijpen wat er gebeurt, maar ook waarom en wat de gevolgen zijn voor de organisatie en de keten waarin de organisatie actief is.
Raamwerk helpt securitystrategie opzetten
De CSR benadrukt dat het niet mogelijk is het risico van cyberdreigingen te reduceren tot nul. Bovendien zijn de middelen schaars.
Er zijn echter wel methoden om prioriteiten toe te kennen aan acties om de risico’s zo veel mogelijk te beperken en strategisch toezicht op te houden zonder op detailniveau op de hoogte te zijn. De CSR wijst op verschillende raamwerken zoals DORA en ISO/IEC 27001.
Belangrijk is dat er volgens één raamwerk wordt gewerkt en dit goed is afgestemd met de verantwoordelijken in de organisatie. Daarbij waarschuwen de opstellers van de handreiking dat raamwerken slechts helpen om de juiste controles uit te voeren, maar niet de effectiviteit daarvan toetsen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee