Met NIS2 worden bestuurders vanaf volgend jaar persoonlijk aansprakelijk voor cyberincidenten. Hoogleraar Bibi van den Berg waarschuwt dat ze vaak de kennis missen om de risico’s rond cybersecurity goed te beoordelen.
De invoering van de Europese NIS2-richtlijn, die bestuurders persoonlijk aansprakelijk maakt voor cyberincidenten, komt in Nederland pas in 2026 aan de orde. Dat geeft bedrijven tijd om zich voor te bereiden. En dat is hard nodig, want volgens Bibi van den Berg, hoogleraar cybersecurity-governance aan de Universiteit Leiden, is er sprake van een fundamenteel probleem: bestuurders krijgen verantwoordelijkheden die ze niet kunnen overzien.
‘Boardrooms zien cybersecurity nu als cruciaal, maar ze hebben niet de kennis om te beoordelen of het goed geregeld is,’ zegt Van den Berg in een interview met het Britse ict-vakblad Computer Weekly. Waar bestuurders tien jaar geleden cybersecurity nog als iets puur technisch beschouwden, is het inmiddels een strategisch thema. Toch ontbreekt de inhoudelijke basis om risico’s goed te duiden.
Misplaatste dreigingsbeelden
Uit haar gesprekken met bestuurders blijkt dat staatgesponsorde aanvallen vrijwel altijd als grootste dreiging worden genoemd. ‘Wanneer ik vraag waarom hun organisatie een specifiek doelwit zou zijn, kunnen ze dat niet uitleggen,’ aldus Van den Berg. ‘Als je een speculaasfabriek runt, ben je echt geen doelwit voor Russische of Chinese hackers. Maar toch is dat waar iedereen bang voor is.’ Het gevolg: dure investeringen in geavanceerde verdediging, terwijl basismaatregelen vaak achterblijven.
Een tweede probleem is het ontbreken van betrouwbare data. Bij waterveiligheid kan Nederland rekenen op decennia aan meetgegevens en modellen. Bij cybersecurity ligt dat heel anders. ‘Zaken die vijf jaar geleden een groot probleem waren, zijn nu geen probleem meer,’ zegt ze tegen Computer Weekly. ‘Aanvalsoppervlakken veranderen, aanvallers veranderen, aanvalstactieken veranderen, en er ontstaan compleet nieuwe soorten aanvallen.’
Volgens Van den Berg legt NIS2 de last op de verkeerde plek. ‘We maken een heleboel mensen verantwoordelijk die niet in de business van digitale veiligheid zitten. Dat is alleen gerechtvaardigd als we hen ook de tools geven om het werk te doen.’ Ze pleit daarom voor meer verantwoordelijkheid bij leveranciers, om systemen veiliger te maken ‘aan de bron’.
Stootkussens
Als alternatief introduceert Van den Berg ‘cushion thinking’: beschermlagen die meerdere risico’s tegelijk afdekken. ‘Je hoeft niet steeds te bedenken wat je grootste dreiging is. Je zorgt voor zoveel mogelijk kussens rond de organisatie die impact opvangen, in welke vorm dan ook.’
Met de vertraagde invoering van NIS2 heeft Nederland een kans om bestuurders beter toe te rusten. Zonder structurele kennisopbouw dreigt de richtlijn echter te verworden tot een compliance-vinkje in plaats van een echte verbetering van digitale weerbaarheid. Hoe is uw organisatie voorbereid op NIS2?
De hoogleraar en de ivoren toren want persoonlijke aansprakelijkheid veranderd het speelveld als eerdere kussen waarop het hoofd rustte voor de slaap als deze opeens de mand wordt waarin het bestuurlijke hoofd rolt door het valmes van de verantwoordelijkheid. Want NIS2 als guillotine gaat tenslotte een beetje om de revolutie waarin burgers de bestuurders verantwoordelijk stellen voor hun beleid. Je kop in het zand steken is uitstel van executie.
bestuurders zonder kennis of kennishouders zonder tools.
akelig dilemma als je niets van begrijpt.
je zal maar c-level manager zijn.
de prachtige security awareness training toegespitst op taaitaai branche mag dan welkome werkonderbreking zijn geweest, het bracht echter geen directe antwoorden.
Dat had de e-learning provider ook laten weten. State of the art, fun en veel andere blije klanten, ook hele grote. Maar security is een dynamisch gegeven werd nog verteld bij de demo.
afschuiven dan maar ? wellicht kansen om een leverancier verantwoordelijk te maken.
al die rottige moeilijkheden dan daaro, bij hunnie. zij deden het..
Boeien, de hoogleraar sprak toch over “ontbreken van betrouwbare data” dus wie doet wie wat ..
en dan weer lekker op de cushion thinking.
wel toegerust.