Cybersecurity wordt nog te vaak gezien als een technisch vraagstuk. Toch hebben cyberincidenten gevolgen die veel verder reiken dan de IT-afdeling. Nieuwe regelgeving zoals NIS2onderstreept dat digitale weerbaarheid een verantwoordelijkheid is van de hele organisatie. Volgens Marcel Dusink, IT- en ISO-auditor, medeoprichter enCOO van Nestor Security, begint effectieve cyberweerbaarheid daarom niet bij techniek, maar bij bestuurders die inzicht hebben in de risico’s van hun organisatie.
Elke nacht staat de digitale voordeur van duizenden organisaties open. Niet omdat iemand het weet, maar omdat niemand precies begrijpt wat er achter die deur ligt. Softwarelagen stapelen zich op, kwetsbaarheden verdwijnen uit zicht en ergens aan de andere kant van de wereld zoekt iemand geduldig naar een opening. Dusink ziet dagelijks hoe organisaties worstelen met die realiteit. Daarbij merkt hij op dat bestuurders vaak zeggen: ’Wij hebben toch geen incidenten?’ terwijl zij volgens hem wel degelijk veel bijna-incidenten hebben meegemaakt. Volgens Dusink wordt cybersecurity nog steeds te vaak behandeld als een technische bijzaak, terwijl de risico’s allang niet meer beperkt blijven tot de IT-afdeling. De introductie van de Europese NIS2-richtlijn verandert dat fundamenteel. Niet vrijwillig, maar juridisch. Bestuurders worden voortaan persoonlijk aansprakelijk als zij niet kunnen aantonen dat zij de risico’s kennen, maatregelen hebben goedgekeurd en de implementatie hebben geborgd. ’U wordt gewoon aansprakelijk gesteld,’ stelt Dusink. Hij vergelijkt de impact van NIS2 met de verstrekkende gevolgen van de Amerikaanse Sarbanes-Oxley-wetgeving uit 2004. Vooral sectoren met beperkte middelen, zoals overheden, zorgorganisaties en zelfstandige bestuursorganen, krijgen te maken met hogere eisen terwijl zij vaak niet beschikken over dezelfde budgetten als grote financiële instellingen.
Compliance is niet hetzelfde als weerbaarheid
Volgens Dusink ontstaat een belangrijk deel van het probleem doordat organisaties compliance en weerbaarheid met elkaar verwarren. ’Compliance is niet hetzelfde als weerbaarheid.’ Hij ziet regelmatig dat normen en maatregelen worden geïmplementeerd als een administratieve verplichting. Organisaties werken een checklist af, zonder de vertaalslag te maken naar de risico’s die specifiek voor hun eigen situatie gelden. Daardoor ontstaat het risico dat er wel aan regelgeving wordt voldaan, maar dat de organisatie in de praktijk onvoldoende voorbereid is op een incident. Nestor Security kiest daarom voor een risicogebaseerde aanpak. Daarbij staat niet de norm centraal, maar de context van de organisatie zelf. Welke processen zijn kritisch? Wat is de schade als ze uitvallen? Volgens Dusink moeten organisaties eerst begrijpen wat voor hen echt belangrijk is voordat zij kunnen bepalen welke maatregelen nodig zijn.
De juiste vragen stellen
Een effectieve aanpak begint volgens Dusink met het maken van keuzes. Niet alles kan tegelijkertijd worden beschermd en niet ieder risico vraagt om dezelfde investering. ’Er is nooit een eenduidige pot met geld’, zegt Dusink. ’Maak dus keuzes. Wat vinden we spannend, daar besteden we tijd aan. Wat we minder spannend vinden, daar minder.’ Daarom adviseert hij bestuurders om actief het gesprek aan te gaan met leidinggevenden binnen de organisatie. Niet vanuit techniek, maar vanuit bedrijfsvoering. Welke processen zijn cruciaal? Wat gebeurt er als ze uitvallen? Welke gevolgen heeft dat voor klanten, burgers of medewerkers? Volgens Dusink vormt juist die kennis de basis van digitale weerbaarheid. ’Als bestuurder moet je weten wat echt belangrijk is. Dat weet je alleen als je de gesprekken voert.’ Niet de technologie zelf, maar het inzicht in wat beschermd moet worden en welke gevolgen een incident kan hebben, bepaalt uiteindelijk hoe weerbaar een organisatie werkelijk is.
