Expert
Cybersecurity begint aan de bestuurstafel
Cybersecurity is een 'governancevraagstuk'. Bestuur en directie zijn eindverantwoordelijk, óók wanneer IT is uitbesteed. Zonder expliciet eigenaarschap, risicogestuurde besluitvorming en duidelijke afspraken over verantwoordelijkheden blijft digitale weerbaarheid kwetsbaar. Ongeacht het aantal ingezette technische maatregelen. Voor NIS2-plichtige organisaties is deze verantwoordelijkheid zelfs wettelijk vastgelegd.
Services
Cyberrisico’s zijn bedrijfsrisico’s
Cyberaanvallen raken de continuïteit, financiële positie, reputatie en wettelijke verplichtingen van een organisatie Daarom horen cyberrisico’s thuis op hetzelfde niveau als strategische en financiële risico’s: aan de bestuurstafel. Digitale weerbaarheid is geen eenmalig project, maar een doorlopend proces dat vraagt om periodieke evaluatie, investeringen en bijsturing. Juist daarom is het essentieel dat bestuurders eigenaarschap nemen én behouden.
Eigenaarschap kan niet worden uitbesteed
Veel bedrijven vertrouwen op externe IT-leveranciers, cloudplatformen of IT-dienstverleners. Maar uitbesteding van IT betekent nooit uitbesteding van verantwoordelijkheid. Zorg als bestuurder dat:
- je inzicht hebt in de risico’s die ontstaan door uitbesteding;
- contracten duidelijke beveiligingsverwachtingen bevatten (bijvoorbeeld service levels, back-up & recovery, logging, incidentrespons);
- er structureel toezicht plaatsvindt op prestaties, beveiligingsincidenten en naleving van afspraken en verplichtingen.
Expliciete verantwoordelijkheid onder NIS2
Bovenstaande wordt door NIS2 expliciet in de wet vastgelegd; bestuurders moeten aantoonbaar betrokken zijn. Zij moeten cybersecuritybeleid en risicobeheersmaatregelen goedkeuren, toezicht houden op de implementatie daarvan en kunnen verantwoorden welke keuzes zijn gemaakt en waarom. Daarnaast geldt een opleidingsplicht: bestuurders moeten voldoende kennis hebben van cyberrisico’s om geïnformeerde besluiten te nemen en effectief toezicht te houden.
Aansprakelijkheid bestuurders onder NIS2
NIS2 introduceert geen “automatische” persoonlijke aansprakelijkheid van bestuurders, maar legt de lat wel aantoonbaar hoger. Bestuurders moeten cybersecuritymaatregelen goedkeuren, toezien op de uitvoering en voldoende kennis hebben om hierop verantwoord te sturen. Bij nalatigheid kan dat leiden tot:
- toezichthandhaving richting de organisatie, zoals aanwijzingen, audits en bestuurlijke boetes;
- in bepaalde gevallen maatregelen die ook individuele bestuurders kunnen raken;
- een zwaarder aansprakelijkheidsrisico onder het algemene bestuurdersaansprakelijkheidsrecht, bijvoorbeeld wanneer sprake is van ernstig verwijtbaar handelen of onvoldoende toezicht.
Meer weten?
aaff is graag overal van betekenis. Voor meer informatie over governance op het gebied van cybersecurity of over de dienstverlening van IT-audit kun je contact opnemen met de specialisten van ons IT-audit team.
Andere inzichten
Zonder back‑up geen herstel: zo borg je digitale veerkracht
Back-ups zijn essentieel voor digitale veerkracht. Gebruik de 3-2-1-1-0 regel, bepaal je RPO en RTO en test regelmatig of herstel echt werkt.
Cyberveiligheid: NIS2-richtlijn
Cyberveiligheid vormt een cruciaal aspect voor de continuïteit van bedrijven. Wanneer jij geraakt wordt door digitale aanvallen, is de noodzaak voor cyberveiligheid direct voelbaar.
Dit is waarmee we je kunnen helpen
Volg aaff op LinkedIn
Blijf op de hoogte van het laatste nieuws via onze LinkedIn pagina
Aanmelden nieuwsbrief
Altijd op de hoogte van het laatste nieuws