Digitale weerbaarheid is chefsache

IT komt uit de kelders van bedrijven, waar de servers vroeger stonden te knetteren op het tapijt. Zeker in de beginjaren was het nog een bijzaak. Het hing vaak ergens onder in de lijn van de CFO of COO.

Door de jaren heen is de wereld digitaler geworden. IT heeft invloed op ieder facet van een bedrijf. Het zit in alle haarvaten. Is er sprake van een hack, een datalek of een ander cyberincident, dan heeft dat effect op het gehele bedrijf. Daarmee is het belang van kennis en kaders op het gebied van digitalisering toegenomen. Dat hoort chefsache te zijn.

Met de Europese NIS2-richtlijn wordt dat officieel geregeld. Bestuurders moeten aantoonbare kennis hebben over de cyberrisico’s binnen hun organisatie. Ze moeten passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen. Vindt er een security-incident plaats en blijken bestuurders bewezen nalatig? Dan kunnen zij persoonlijk aansprakelijk worden gesteld.

IT is bestuurlijk vraagstuk

Een goede ontwikkeling als je het mij vraagt. Het is hoog tijd dat digitale weerbaarheid niet langer een IT-vraagstuk is, maar een bestuurlijk vraagstuk. Als je ziet wat de impact is van een cyberincident, dan is het niet te begrijpen dat je als bestuurder niet geïnformeerd bent over de IT-zaken binnen je organisatie. Dit hoort bij je rol.

Tegelijkertijd is het ook een spannende ontwikkeling. Ik ben ervan overtuigd dat veel bestuurders geen idee hebben dat zij deze verantwoordelijkheid hebben en wat dat inhoudt.

Nederland is een digitaal bekwaam land, maar vooral als het om het gebruik van IT gaat. We begrijpen doorgaans minder goed hoe de systemen op de achtergrond werken. Je moet een persoonlijke interesse hebben om dat goed te begrijpen. Maar de rol van de CEO is meer generalistisch. Je moet van alles wat weten en hebt voor alles te weinig tijd. Op het gebied van IT zijn CEO's daardoor vaak onbewust onbekwaam.

Ben je voorbereid?

Dat is niet langer houdbaar. Ik zie veel bedrijven op zwart gaan, omdat ze IT niet goed hebben geregeld. Dat raakt niet alleen jouw bedrijf en de IT, maar ook de mens en de maatschappij. Een datalek schaadt het vertrouwen van klanten. Een ransomware-aanval legt je organisatie plat en treft daarmee ook je leveranciers en partners. De impact is enorm en wijdverspreid.

IT hoort op het bureau van de CEO te liggen, zeker missiekritische IT. Sterker nog: het hoort boven op de stapel. Je hoeft echt niet van alle details op de hoogte te zijn, maar wel van de hoofdlijnen. Net als bij het financieel beleid en het personeelsbeleid. Begin met de vraag aan je mensen: hebben we een noodplan? Wie is verantwoordelijk? Hoe hebben we de zaken geregeld op het gebied van cybersecurity? Er zijn genoeg assessments, checklists en bedrijven die je kunnen helpen met een goede voorbereiding.

Maar de eerste stap is de belangrijkste: realiseer je dat je onbewust onbekwaam bent. Word bewust onbekwaam en ga wat aan die onbekwaamheid doen. Daar zijn trainingen voor, simulaties en meer.

Want het alternatief? Dat je pas leert wat digitale weerbaarheid betekent als het misgaat. En dan is het te laat.