In het kader van de NIS2-wetgeving moeten de bestuurders van een organisatie een beter begrip krijgen van cyberrisico’s. Hoewel dit een goed initiatief is, mag het voor bedrijven geen simpele compliance-oefening zijn. Freddy Dezeure, onafhankelijk adviseur en ervaren securityspecialist, geeft training aan directies en raden van bestuur van bedrijven. Hij legt uit waarom het weinig zin heeft om de board naar een academisch opleidingscentrum te sturen, en hoe we de kloof tussen bestuurders en technische experts echt kunnen verkleinen.

Van ransomware door criminele organisaties tot aanvallen gelanceerd vanuit landen: het risico op een cyberaanval is de laatste tijd niet afgenomen. Integendeel zelfs, cyberdreigingen brengen de continuïteit van bedrijven, de economie en zelfs de hele samenleving in gevaar. Voor organisaties vormen cyberaanvallen een groter risico als bijvoorbeeld een brand of een natuurramp.

De meeste organisaties krijgen één tot twee keer per jaar te maken met een cyberaanval. Geen enkel bedrijfsproces kan draaien zonder ICT. En ook de interconnectie is zodanig toegenomen dat een incident meestal een impact heeft op meerdere spelers in de keten. Daarnaast vragen de techniciteit en complexiteit van een moderne IT-omgeving om gespecialiseerde skills die moeilijk te vinden zijn op de arbeidsmarkt. Al die uitdagingen maken het des te opvallender dat cybersecurity nog steeds moeizaam ingang vindt in de bestuurskamer van bedrijven.

Kloof tussen bestuur en CISO

Doorgaans blijft cybersecurity de verantwoordelijkheid van experten, zoals de CISO. Daar hebben zowel die experten zelf als de bedrijfsleiding schuld aan. De directie denkt dat cybersecurity een technisch complex concept is waar ze niets van begrijpen. Securityprofessionals volgen dezelfde redenering en denken dat zij de enige zijn die weten wat cyberbeveiliging inhoudt.

De kloof tussen beide profielen maakt het moeilijk om cybersecurity op een betekenisvolle manier in te zetten en de organisatie te veranderen. In veel bedrijven zit de CISO bovendien wat verborgen in de hiërarchische structuur. Deze rol bevindt zich vaak twee niveaus onder de CEO, waardoor de CISO voornamelijk moet rapporteren aan bijvoorbeeld de CIO of de CFO. Belangrijke informatie stroomt zo onvoldoende door tot bij de personen die strategische  beslissingen moeten nemen.

Daar komt bij dat rapporten vooral over de vooruitgang van programma’s en processen gaan. Ze vertellen weinig over werkelijke toestand van cybersecurity in de organisatie. Ook CISO’s moeten zich hiervan bewust zijn. Ze mogen niet denken dat ze gewoon budget nodig hebben om hun job te doen. Om risico’s te beperken, moeten ze de effectiveit van hun risicobeperkende maatregelen kunnen meten en voeling houden met de bedrijfsleiding.

Geen academische opleiding

Wetgeving zoals NIS2 en DORA wil hier verandering in brengen door bestuurders te verplichten opleiding te volgen en een beter begrip te krijgen van de cyberrisico’s in de organisatie. Wat we echter niet willen, is dat de regelgeving iets wordt dat ze enkel moeten afvinken om compliant te zijn. Eerder dan een verplichting moet het een opportuniteit zijn om de business beter te organiseren. Dat laatste is onmogelijk als we bedrijfsleiders naar een academische of theoretische opleiding sturen.

In plaats van de CEO in een klaslokaal bij te scholen, verzamelen we best het volledige bestuur rond de tafel. Ook de CISO moet mee aanschuiven om de band met het bestuur te verbeteren en security op een hoger niveau bespreekbaar te maken. Een training op maat van de organisatie kijkt niet naar standaardoplossingen, maar vertrekt vanuit de uitdagingen en infrastructuur in het bedrijf. Op basis daarvan is het dan mogelijk om acties te definiëren en prioriteiten te stellen.

Onze eigen trainingen starten daarom altijd met een gesprek met de CISO en andere partijen zoals het hoofd van de juridische dienst. We checken de bestaande rapportagemechanismen, gaan na waar er verbetering mogelijk is en sporen fricties op die de relatie tussen het bestuur en CISO belemmeren. Die fricties zouden in een academische omgeving nooit aan het licht komen.

Van compliance naar resilience

In de meeste situaties begint een training als een verplichting voor de board. Om de aandacht te trekken, wijzen we eerst op de wettelijke verplichtingen en de persoonlijke aansprakelijkheid van de bestuursleden. Vervolgens maken we duidelijk dat niemand in de directie het niveau van een CISO moet halen of honderden controles moet superviseren. Tien kritische controles volstaan al om een degelijk niveau van cybersecurity uit te bouwen. Denk aan assetmanagement, back-ups, multifactorauthenticatie, etc.

Voor het bestuur is het verhelderend om te horen dat een beperkt aantal risicoverminderende maatregelen  een onevenredig hoge impact heeft. We spreken hier niet van een 80/20 regel, maar eerder een 98/2 regel. Twee percent van de maatregelen resulteert in 98% van het resultaat.

Het bestuur zit niet in dezelfde cockpit als een CISO die een dashboard met tientallen knopjes nodig heeft om de organisatie in de lucht te houden. Voor het bestuur volstaat een andere cockpit, zoals die van een ruimteschip dat grotendeels door experten vanaf de grond bestuurd wordt. Zodra de bestuurders in een training dit beseffen, verschuift cybersecurity van een verplichting naar iets wat ze kunnen behappen. Van iets wat ze moeten doen omwille van de wetgeving naar iets wat ze willen doen omwille van hun bedrijf. Van compliance naar resilience.

Na een training van zo’n twee uur kijkt het bestuur van een bedrijf op een totaal andere manier naar cybersecurity. En ook de band met de CISO is versterkt, waardoor de kloof verkleint en de beide partijen op een zinvolle manier over de risico’s en prioriteiten van de organisatie kunnen praten. De wetgeving is dus een goede stimulans, maar we mogen het niet te complex maken. Het blijft de essentie dat ieder bedrijf ook zonder regelgeving aan goede cybersecurity doet.

Freddy Dezeure is één van de keynote-sprekers op Cybersec 2025 in Brussel. Hij zal er nog meer tips geven om cybersecurity bespreekbaar te maken in de boardroom en de kloof tussen het bestuur en de CISO te verkleinen.