Hebben bestuurders zicht en controle over cyberbedreigingen? Zijn organisaties in Nederland voorbereid op digitale aanvallen? Vragen die centraal staan in het onderzoek naar cybersecurity van Ivo Roefs en Erik Hoving. De uitkomsten zijn niet bemoedigend en vormden daarmee aanleiding voor een nieuwe cyber-sessie van GoedeMorgenCommissaris.

Onderdeel van de operatie

Erik Hoving, voormalig CTO van KPN en momenteel commissaris bij MyTomorrow, weet wat het betekent als je organisatie digitaal onder vuur ligt. Hij weet ook dat de meeste commissarissen zich niet voldoende bewust zijn van de risico’s die verbonden zijn aan cybersecurity, ondanks hun kennis van de operationele processen binnen hun bedrijven. Hoving pleit ervoor dat commissarissen niet alleen moeten vertrouwen op de expertise van IT-professionals, maar ook zelf actief betrokken moeten zijn bij het waarborgen van digitale veiligheid.

Ivo Roefs, Chief Marketing Officer bij Sjoerdberg Philips, onderschrijft het idee dat cybersecurity een bredere operationele uitdaging is. Hij introduceert het concept van digitale weerbaarheid. Hierbij is de focus op compliance niet voldoende. Organisaties moeten zich ook voorbereiden op situaties waarin IT-systemen falen. Dit houdt in dat bedrijven een plan moeten hebben voor herstel en dat ze regelmatig moeten oefenen met ‘no-IT’-scenario’s om ervoor te zorgen dat ze voorbereid zijn op mogelijke incidenten.

Kennishiaten

Belangrijkste bevindingen uit het onderzoek zijn dat veel bestuurders en commissarissen beperkte kennis hebben over IT en cybersecurity, zich niet realiseren dat cyberbedreigingen een reële mogelijkheid zijn en zich onvoldoende voorbereiden op het onvermijdelijke. Niet alleen preventie zou aandacht moeten krijgen, maar ook herstelstrategieën. Alleen als organisaties de risico’s kwantificeren en de financiële impact van cyberincidenten begrijpen kunnen er in crisissituaties effectieve beslissingen genomen worden.

Risico’s in de keten

Leveranciers, klanten en andere stakeholders hebben een grote rol in het waarborgen van cybersecurity: een aanzienlijk deel van de aanvallen vindt plaats via derde partijen. Organisaties moeten hun hele supply chain betrekken bij het gesprek over digitale weerbaarheid. Dit benadrukt de noodzaak voor bedrijven om niet alleen intern, maar ook extern te communiceren over hun cybersecuritystrategieën en -maatregelen. Dit sluit aan bij de noodzaak om ook transparant te communiceren in geval van een cyberaanval, inclusief de vraag of bedrijven moeten melden dat ze losgeld hebben betaald aan hackers. Het is essentieel dat organisaties een duidelijk communicatieplan hebben dat voldoet aan wettelijke vereisten en tegelijkertijd de belangen van het bedrijf beschermt.

Cultuur

Toezichthouders en commissarissen kunnen de discussie over cybersecurity binnen hun organisaties stimuleren. Het is van cruciaal belang dat zij niet alleen vertrouwen op de expertise van anderen, maar zelf betrokken zijn bij het ontwikkelen van een robuuste cybersecuritystrategie. Dit vereist een cultuurverandering waarbij digitale weerbaarheid wordt gezien als een integraal onderdeel van de bedrijfsvoering en niet slechts als een IT-kwestie.

Voor meer informatie over ons wekelijks actualiteitenprogramma GoedeMorgenCommissaris zie hier.