'Cyber security: van dataroom naar boardroom'

Maatwerk
Publicatiedatum: 25-4-2024

In een wereld waar cyberrisico’s en digitale dreigingen exponentieel groeien, is het essentieel dat bestuurders en toezichthouders beschikken over actuele kennis en inzicht in cyber resilience. Martijn Dekker is global chief information security officer bij ABN AMRO en  spreker in het programma Cyber Resilience for Boards van Nyenrode Business Universiteit. “Cyber security gaat al lang niet meer alleen de IT-afdeling aan.” 

“Organisaties zijn de afgelopen jaren in grote mate afhankelijk geworden van verregaande digitalisering”, vertelt Dekker. “Daarmee ontstaan tegelijkertijd existentiële risico’s. Het gaat daarbij niet alleen om cybercrime, zoals randsomware, maar ook om het falen van IT-systemen. Cyber resilience is daarmee een groot strategisch onderwerp geworden, dat zich heeft verplaatst van de dataroom naar de boardroom.” 

Wetgeving

Eind 2024 wordt in Nederland de nieuwe ‘Network and Information Security’-richtlijn (NIS2) van kracht, de opvolger van de NIS-richtlijn. Deze richtlijn is een initiatief van de Europese Unie en stuurt op risico’s die netwerk- en informatiesystemen bedreigen. Daarnaast omvat NIS2 ook meer sectoren dan NIS, zoals de energiesector en overheidsdiensten. “Een gevolg van de nieuwe wetgeving is dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor een verwijtbaar gebrek aan weerbaarheid van de organisatie”, legt Dekker uit. “Door de nieuwe wetgeving zijn bestuurders en toezichthouders dus verplicht om voldoende kennis te hebben over cyber security en hier strategische beslissingen over te nemen. Dat betekent niet dat zij zelf een inhoudelijk expert hoeven te worden, maar het houdt wèl in dat ze moeten weten hoe de cyber security binnen hun eigen organisatie geregeld is.” 

Risk appetite

In zijn college geeft Dekker concrete handvatten waarmee bestuurders en toezichthouders aan de slag kunnen in hun eigen organisaties. Het gaat er daarbij om dat ze meer kennis ontwikkelen, hun eigen rol beter begrijpen en die rol aantoonbaar kunnen uitvoeren. “Ik wil de deelnemers helpen om binnen hun organisatie het juiste gesprek te voeren, zoals met een chief information security officer. Daar hoort ook het stellen van de juiste vragen bij. Wat ze dan vooral niet moeten vragen is: zijn we veilig? Daar valt namelijk geen antwoord op te geven. Vragen die bestuurders en toezichthouders wel kunnen stellen zijn: van welke dreigingen lig je wakker? Wat is onze securitystrategie en hoe ziet deze er binnen onze organisatie uit? Wanneer heb je voor het laatst een securitytest uitgevoerd en wat is er gedaan met de bevindingen? En wat doe je om voldoende bewustwording te creëren bij de medewerkers?” Een onderwerp dat volgens Dekker belangrijk is om te bespreken is de risk appetite: de risicotolerantie. Dit geeft aan hoeveel risico de organisatie bereid is te accepteren ten aanzien van in dit geval cyber security, en dus ook welk risico niet wordt geaccepteerd. “Door hier duidelijkheid in te creëren, kan je als bestuurder of toezichthouder betere afwegingen maken.”

Actieve rol

Bestuurders moeten voortaan dus een actieve rol hebben in de cyber resilience van hun organisatie. “Dat betekent dat dit onderwerp regelmatig op de agenda moet staan en dat een dashboard en goede managementinformatie nodig zijn”, zegt Dekker. “Het is bovendien belangrijk dat de chief information security officer aanwezig is om die informatie te duiden en zo in onderling overleg keuzes te maken en een strategie vast te stellen. Want één ding is zeker: je kan dit simpelweg niet meer delegeren.”

In het programma Cyber Resilience for Boards staan onderwerpen met betrekking tot dreigingen, risico's en snel gaande technologische ontwikkelingen centraal. Hoe kan je als bestuurder en/of toezichthouder ervoor zorgen dat je in staat bent sturing te geven aan, dan wel toezicht te houden op, het beleid van je eigen organisatie?

Dr. Martijn Dekker is een van de sprekers tijdens het programma Cyber Resilience for Boards

Het programma Cyber Resilience for Boards maakt onderdeel uit van de serie 'Board Essentials'.  Permanente Educatie waarmee jij je als bestuurder of commissaris kan verdiepen in de actuele thema’s die in de boardroom spelen. Bekijk hier de hele serie 'Board Essentials'.

Gerelateerde opleidingen

  • Behavioral and Cultural Governance Program

    Startdatum: 27 januari 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Tijdens het Behavioral and Cultural Governance Program staan moderne dilemma’s rond wendbaarheid en verandervermogen van organisaties centraal. Hoe bouw je een gezonde organisatie met een gezond ecosysteem?

    Kasteel postcard zonnig
  • Nyenrode Commissarissen Community

    Startdatum: 16 september 2024
    Taal:
    • Nederlands
    Locatie:
    • Breukelen
    • Den Haag
    • Online

    Membership voor alumni van de Nyenrode Commissarissencyclus.

  • Nyenrode Commissarissencyclus

    Startdatum: 11 en 12 februari
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Versterk je kennis, inzicht en handelingsperspectief als commissaris of toezichthouder.

    Board & Governance
  • Private Publieke Samenwerkingen

    Startdatum: 20 maart 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Leer en begrijp de onderliggende mechanismen en patronen die een rol spelen bij privaat-publiek samenwerken (PPS).

    Executive Education
  • Digitalization and Boardroom Dynamics

    Startdatum: 19 maart 2025
    Taal:
    • Engels
    Locatie:
    • Breukelen

    Biedt contrete handvatten om IT en innovatie af te stemmen in het licht van de dynamiek van de bestuursbeslissingen.

    Executive Education Workshop 17
  • New Board Program

    Startdatum: 13 februari 2025
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Dit programma inspireert en daagt leidinggevenden uit om hun bestuurskwaliteiten te optimaliseren in een omgeving waarin stakeholders steeds veeleisender zijn.

    Kasteel