Governance, risico en verantwoordelijkheid van bestuurders
De juridische en strategische verantwoordelijkheden van directie en raad van bestuur inzake cybersecurity.
Persoonlijke aansprakelijkheid onder NIS2
Met de komst van NIS2 verschuift de verantwoordelijkheid voor cybersecurity expliciet naar het hoogste bestuursniveau. Bestuurders kunnen niet langer claimen dat ze 'er geen verstand van hebben'. De richtlijn stelt dat het bestuur training moet volgen en persoonlijk aansprakelijk kan worden gesteld voor het niet naleven van de zorgplicht.
Risk Appetite
Governance begint met het definiëren van de 'risk appetite': hoeveel risico is de organisatie bereid te nemen om haar doelen te bereiken? Dit is geen technische discussie, maar een strategische. Is het acceptabel dat de webshop 2 uur offline is? Is het acceptabel dat klantdata in verkeerde handen valt? (Spoiler: nee).
De rol van de CISO
De Chief Information Security Officer (CISO) moet een directe lijn hebben naar het bestuur. Als de CISO rapporteert aan de CIO (IT-directeur), ontstaat er vaak een belangenconflict tussen 'snelheid/functionaliteit' en 'veiligheid'. Een onafhankelijke CISO fungeert als het geweten van de organisatie.
Verzekeringen en Liability
Cyberverzekeringen worden steeds duurder en stellen steeds strengere eisen. Zonder basismaatregelen zoals MFA en offline back-ups bent u vaak niet eens verzekerbaar. Bovendien dekt een verzekering wel de financiële schade, maar niet de reputatieschade of het verlies van vertrouwen bij uw klanten.
Best practices voor governance
Zet cybersecurity vast op de agenda van de Raad van Bestuur (minimaal elk kwartaal). Vraag niet naar technische details ('hoeveel virussen hebben we gestopt?'), maar naar business impact ('wat is de status van onze kroonjuwelen?' en 'zijn we klaar voor een ransomware-aanval?').