Terwijl er intussen genoeg voorbeelden zijn van organisaties die zware verliezen lijden na een aanval met ransomware, blijft cybersecurity in veel bedrijven een uitdaging waar de directie liever niet van wakker ligt. Nieuwe wetgeving zoals NIS2 wil daar verandering in brengen. Het is een unieke kans om cyberrisico’s aan de bedrijfstop bespreekbaar te maken. Maar dan mag het natuurlijk niet beperkt blijven tot een simpele compliance-oefening.
Cybersecurity? Dat is meestal de verantwoordelijkheid van de CISO. Enerzijds omdat de directie van een bedrijf ervan uitgaat dat cybersecurity een technisch concept is en ze weinig begrijpen van de complexiteit. Anderzijds omdat ook professionals denken dat zij als experten hun directie niet moeten lastigvallen met discussies over firewalls, cloud security of een Zero Trust-aanpak.
Verplichte rapporteringen gaan meestal over de evolutie van processen of de impact van een programma. Ze focussen te weinig op wat voor de directie echt belangrijk zou moeten zijn: hoe is het gesteld met de werkelijke securitystatus van het bedrijf? Hoe lang zou het na een aanval duren om de business te hervatten? Wat is de impact op de activiteiten van het bedrijf? Bovendien moet de CISO vaak rapporteren bij de CIO of CFO, waardoor die maar zelden in de directiekamer komt en belangrijke informatie niet doorstroomt naar de mensen die beslissingen moeten nemen.
Verplichte training in het kader van NIS2
Het zorgt ervoor dat cybersecurity nog steeds te weinig ingang vindt bij de directie. Daar wil nieuwe wetgeving, zoals NIS2, verandering in brengen. De meeste organisaties krijgen één tot twee keer per jaar te maken met een cyberaanval. Het mag toch niet dat de CEO geen kennis heeft van een dreiging die de hele organisatie in een vingerknip kan lamleggen? De NIS2-richtlijn schrijft voor dat de bestuurders van een bedrijf op de hoogte moeten zijn van de cyberrisico’s. Sterker nog, de wet stelt dat bedrijfsleiders persoonlijk aansprakelijk zijn als het verkeerd gaat.
Terug naar de schoolbanken? Om compliant te zijn, moeten managementteams inderdaad een training volgen. Hoewel het zeker een goed initiatief is, dreigt dit niet meer dan een oefening in het kader van compliance te worden. Een verplichting die bedrijven net zoals andere richtlijnen snel afvinken. Vooral een academische of theoretische training biedt weinig toegevoegde waarde.
Directie en CISO samenbrengen
Ook voor de CISO is het natuurlijk belangrijk dat de directie interesse krijgt in cybersecurity. Vaak blijven bepaalde onderwerpen door technische profielen onderbelicht, omdat ze bang zijn om op hun tekortkomingen te worden gewezen. Stel dat er zwakke punten of gaten in de infrastructuur zitten, dan willen ze niet dat iemand hen hiervoor met de vinger wijst. Het is dus belangrijk om de frictie tussen beide kampen te erkennen en ervoor te zorgen dat iedereen dezelfde taal spreekt. Om risico’s te beperken, mag cybersecurity niet zomaar een budgetkwestie zijn.
In plaats van enkel de CEO naar de klas te sturen, doen we er dus goed aan om het management en profielen zoals de CISO samen rond de trainingstafel te brengen. Het is zeker niet de bedoeling dat de directie het kennisniveau van de CISO evenaart. Terwijl die laatste de organisatie in de lucht houdt via een dashboard met eindeloos veel knopjes, volstaan een tiental kritische controles voor de bedrijfstop – zoals assetmanagement, back-ups en multifactorauthenticatie.
Van verplichting naar opportuniteit
Door de problematiek te vernauwen, nemen we de complexiteit van cybersecurity voor een groot stuk weg. Het maakt alles veel meer behapbaar voor de directie, zodat ze beter kunnen inschatten wat nodig is om hun business te beschermen. Als je ook de CISO in deze training betrekt, zal de interactie met de bedrijfstop alleen maar verbeteren. Het neemt de spanning weg en maakt van security een uitdaging waar iedereen z’n schouders onder zet.
Enkel als we de muren tussen de directie en de technische profielen in het bedrijf slopen, zullen we erin slagen om constructieve gesprekken over cybersecurity te voeren. Zodat wetgeving zoals NIS2 niet aanvoelt als een verplichting, maar wel als een opportuniteit voor de business. Zodat het geen compliance-oefening is, maar een doordacht traject dat de weerbaarheid van het bedrijf vergroot. En zodat we op termijn geen wetgeving meer nodig hebben omdat organisaties security uit zichzelf eindelijk de aandacht geven die het verdient.
Dit is een ingezonden bijdrage van Freddy Dezeure in samenwerking met Jaarbeurs. Freddy Dezeure is een keynote-spreker op Cybersec 2025 in Brussel. Als onafhankelijk adviseur en securityspecialist geeft hij training die de kloof tussen directies en CISO’s wil verkleinen. Op Cybersec deelt hij nog meer tips om security bespreekbaar te maken op het niveau van de board. Registreren is gratis.