Directie onvoldoende betrokken bij cyberveiligheid

De nieuwe Europese richtlijn NIS2 legt de eindverantwoordelijkheid voor cyberveiligheid op directieniveau neer; als deze haar verplichtingen onder deze wet niet nakomt, kunnen individuele directieleden zelfs persoonlijk aansprakelijk worden gesteld. Het grootbedrijf heeft daar echter nog een slag te maken; bij slechts 40 procent van deze ondervraagden is de directie al de eindverantwoordelijke op het gebied van cybersecurity; bij bijna evenveel bedrijven (35 procent) ligt die rol bij een interne IT- of securityspecialist. Wel bespreekt de helft van de grote bedrijven cyberveiligheid “zeer regelmatig” op directieniveau en door meer dan een derde (37 procent) “regelmatig”.

In vergelijking met het grootbedrijf blijken de directies van ondernemingen uit het midden- en kleinbedrijf (mkb) al iets steviger aan het stuur te zitten – mogelijk vanwege de beperktere schaal van deze bedrijven. De helft van de mkb-bedrijven (49 procent) ziet de directie als eindverantwoordelijk voor cyberveiligheid. Overigens wordt het onderwerp minder vaak op directieniveau besproken dan in het grootbedrijf; een kwart doet dit “zeer regelmatig” en ongeveer de helft “regelmatig”.

Volgens Arwi van der Sluijs, algemeen directeur van cybersecuritydienstverlener NFIR, valt er nog een kloof te dichten tussen de directie enerzijds en de IT- en securityexperts anderzijds. Zo lukt het de specialisten lang niet altijd om de urgentie van bepaalde maatregelen over te brengen. “Ze moeten het niet alleen over de technische oplossing hebben, maar kunnen beter spreken in termen van concrete risico’s voor het bedrijf. Anders bestaat de kans dat een goed security-initiatief wordt afgeschoten puur op basis van de kosten.” Andersom verkeren veel directies in de onjuiste veronderstelling dat de IT- en securityafdelingen met een beperkt budget volledig ‘in control’ kunnen zijn. “Als de IT-medewerkers na een cyberaanval dan het verwijt krijgen dat ze een steek hebben laten vallen, is dat heel pijnlijk.”

Hoewel eigenaarschap op directieniveau essentieel is voor beter beveiligde bedrijven, brengt de NIS2-verplichting ook een nieuw soort risico met zich mee. “Ik voorzie een situatie waarin bedrijven in extreme mate gaan sturen op compliance, om maar te voorkomen dat individuele directie- en bestuursleden aansprakelijk worden gesteld voor cyberincidenten”, zegt Daan Hoogendijk, programmadirecteur van Samen Digitaal Veilig. Het platform, een samenwerkingsverband van grote brancheorganisaties, helpt bedrijven met informatie en oplossingen op het gebied van digitale veiligheid. “Er wordt dan eerder een papieren werkelijkheid gecreëerd dan dat men in de echte wereld bezig is om de cyberweerbaarheid naar een hoger plan te tillen. Het is belangrijk dat bedrijven dat risico erkennen.”

Alle redenen dus dat ondernemingen zich goed wapenen tegen cyberaanvallen en het management het voortouw laten nemen. Dat kan volgens ABN AMRO in drie relatief eenvoudige stappen. De eerste is het maken van een risicoanalyse waarmee in kaart gebracht wordt welke zaken cruciaal zijn voor het blijven functioneren van de onderneming en het op orde houden van de dienstverlening. De tweede stap is het nemen van maatregelen, zoals veilig gedrag onder werknemers stimuleren, vastleggen wie de eigenaar is van bepaalde gegevens en cyberrisico’s met partners en leveranciers bespreken. Ten slotte is het essentieel om procedures te ontwikkelen waarmee de cyberincidenten kunnen worden gedetecteerd en afgehandeld.

Afgelopen jaar kreeg bijna driekwart van de Nederlandse bedrijven te maken met een cyberaanval. Lees meer over dit onderwerp in het artikel 'Cyberaanval schudt ondernemer lang niet altijd wakker'.

Lees verder in de technologiesector

Technologie, Media & Telecom (TMT) is een van de snelst groeiende sectoren. Geholpen door de toenemende inzet van software, algoritmen en sensoren staat deze sector aan de basis van de digitale vernieuwing van andere sectoren.

Bekijk alle artikelen