Op 13 november kwamen bestuurders van diverse overheidsorganisaties en bedrijven uit verschillende sectoren bijeen op Kasteel De Vanenburg voor een bestuurdersontbijt, georganiseerd door de Cyber Security Raad (CSR) in samenwerking met het Centrum Informatiebeveiliging en Privacybescherming (CIP). Het bestuurdersontbijt vond plaats voorafgaand aan de CIP-najaarsconferentie en vormde een inhoudelijke aftrap voor het bredere dagprogramma. Centraal stond de vraag hoe bestuurders meer grip kunnen krijgen op cybersecurity in een tijd waarin de digitale dreigingen toenemen en organisaties steeds afhankelijker worden van complexe ketens.
Tijdens haar inleiding schetste raadslid Lokke Moerel dat organisaties vaak nog te veel vertrouwen op compliance-rapportages en technische Key Performance Indicators, waardoor bestuurders vaak in een ‘cyberfog’ belanden: een overvloed aan informatie waarop niet strategisch gestuurd kan worden. Een belangrijk inzicht uit de bijeenkomst is dat effectieve cyberweerbaarheid begint bij het versterken van basishygiëne en het toepassen van een risk-based benadering. Daarbij gaat het niet om honderden maatregelen, maar om een beperkt aantal key controls die het merendeel van de risico’s afdekt. Voorbeelden zijn assetmanagement (weet wat je in huis hebt), segmentatie van netwerken, monitoring, multi-factor authenticatie en patchmanagement. De Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren van de CSR werd daarbij gezien als een waardevol instrument, omdat deze concrete handvatten biedt om bestuurlijke verantwoordelijkheid te nemen zonder te verzanden in technische details.
De aanwezigen erkenden dat het ontwikkelen van een gedeelde taal tussen bestuur en CISO cruciaal is om cyberrisico’s beter te kunnen wegen en prioriteren. Een strategische positionering van de CISO is daarbij een randvoorwaarde voor een adequate governance op cybersecurity. Waar de CISO traditioneel vooral operationeel was gepositioneerd, wordt onderkend dat deze functionaris rechtstreeks toegang tot het bestuur van een organisatie moet hebben. Op deze wijze kan cyberweerbaarheid onderdeel worden van het bredere strategische besluitvormingsproces. Daarbij moet er zowel aandacht zijn voor IT als OT (operationele technologie) systemen, hetgeen nog vaak verschillende werelden zijn.
Met elkaar kijken CSR en CIP terug op een waardevolle bijeenkomst waarin bestuurders openhartig ervaringen en dilemma’s deelden. De inzichten uit het ontbijt worden meegenomen in de verdere samenwerking tussen CSR en CIP, met als doel om organisaties nog beter te ondersteunen bij het versterken van de digitale weerbaarheid van Nederland.