Volgens Van den Berg wordt cybersecurity steeds meer een strategisch thema, maar ontbreekt het in veel boardrooms aan inhoudelijke basis. Ze zei dat 'boardrooms cybersecurity nu als cruciaal zien, maar ze hebben niet de kennis om te beoordelen of het goed geregeld is'.

Van den Berg waarschuwt dat bestuurders vaak misplaatste dreigingsbeelden hebben. 'Wanneer ik vraag waarom hun organisatie een specifiek doelwit zou zijn, kunnen ze dat niet uitleggen', legt ze uit. 'Als je een speculaasfabriek runt, ben je echt geen doelwit voor Russische of Chinese hackers. Maar toch is dat waar iedereen bang voor is'.

Daarnaast wijst ze op het gebrek aan betrouwbare data. 'Aanvalsoppervlakken veranderen, aanvallers veranderen, aanvalstactieken veranderen, en er ontstaan compleet nieuwe soorten aanvallen', zei Van den Berg. Ze benadrukt dat NIS2 veel verantwoordelijkheid legt bij mensen die niet dagelijks in de business van digitale veiligheid zitten. 'Dat is alleen gerechtvaardigd als we hen ook de tools geven om het werk te doen'.

Van den Berg pleit voor meer verantwoordelijkheid bij leveranciers en introduceert het concept van ‘cushion thinking’: 'Je hoeft niet steeds te bedenken wat je grootste dreiging is. Je zorgt voor zoveel mogelijk kussens rond de organisatie die impact opvangen, in welke vorm dan ook'.

Met de vertraagde invoering van NIS2, een Europese richtlijn, in Nederland is er volgens Van den Berg een kans om bestuurders beter toe te rusten. Zonder structurele kennisopbouw dreigt de richtlijn echter te verworden tot een compliance-vinkje in plaats van een echte verbetering van digitale weerbaarheid.

Lees het volledige artikel op de website van Computable.

• cyber security
• regulering

Delen op Facebook Delen via Bluesky Delen op LinkedIn Delen via WhatsApp Delen via Mastodon