Cybersecurity is meer dan een technische uitdaging; het is een vraagstuk dat steeds vaker op de agenda van raden van bestuur terechtkomt. Op 20 mei brengt Katleen Seeuws, vicepresident standards & guidance bij The Institute of Internal Auditors (IIA) Global, op Cybersec Europe 2026 een keynote over hoe interne auditorganisaties cyberrisico’s kunnen vertalen naar vertrouwen op bestuursniveau.
Met jarenlange ervaring in governance, interne controle en risicogerichte auditwerkzaamheden, benadrukt Seeuws één kernpunt: cybersecurity is geen it-probleem dat beperkt blijft tot firewalls en technische controls. Het is een board-level governance- en risicovraagstuk.
Haar sessie ‘From cyber risk to board confidence: the internal audit perspective’ legt uit hoe interne audit kan helpen bij het versterken van cybergovernance en het verbeteren van rapportages aan het senior management en raden van bestuur.
Cyberrisico’s niet langer fragmentarisch bekijken
Veel organisaties worstelen met gefragmenteerde verantwoordelijkheden: it, risicomanagement, compliance en business leadership werken vaak in silo’s. Dat leidt tot onduidelijke escalaties, onheldere eigenaarschap en rapportages die te technisch of te vaag zijn voor raden van bestuur en auditcommissies.
Volgens de ‘IIA 2026 Risk in Focus‘ blijft cybersecurity wereldwijd het belangrijkste auditrisico, terwijl digitale ecosystemen complexer worden, afhankelijkheden van derden toenemen en regelgeving zoals NIS2, Dora en de Data Act extra druk zetten op organisaties.
Seeuws pleit voor een gestandaardiseerde, risk-based aanpak. ‘Interne audit kan beoordelen of cyber governance daadwerkelijk werkt, of risico’s helder gedefinieerd zijn, verantwoordelijkheden toegewezen, en controles afgestemd op wat echt belangrijk is voor de organisatie’, oppert ze. Alleen dan kan het senior management weloverwogen beslissingen nemen en kan de raad van bestuur met vertrouwen sturen.
Three lines
Een centraal onderdeel van haar presentatie is het Three Lines-model, dat duidelijkheid biedt over rollen en verantwoordelijkheden binnen governance. Zo krijgt elke stakeholder de inzichten die hij of zij nodig heeft:
- Raden van bestuur en auditcommissies krijgen vertrouwen dat cyberrisico’s begrepen, gecontroleerd en transparant gerapporteerd worden;
- Senior management krijgt inzicht in gaten, inconsistenties en het cybervolwassenheidsniveau binnen de organisatie;
- Second-line-functies profiteren van duidelijke verantwoordelijkheden en betere integratie binnen het bredere Governance, Risk & Compliance (GRC)-raamwerk.
Ook wie niet in interne audit werkt, moet hier lering uit kunnen trekken, benadrukt Seeuw. ‘Onduidelijke rollen maken risico’s moeilijker beheersbaar en ongestructureerde rapportages belemmeren bestuurders in hun sturing.’
Strategische prioriteit
Seeuws benadrukt dat cybersecurity een strategische prioriteit is, in plaats van enkel een technische oefening. ‘Organisaties moeten nadenken over digitale veerkracht, incidentvoorbereiding en samenwerking over afdelingen heen’, oppert ze. ‘Succes zal in de komende jaren worden gemeten aan hoe goed een organisatie risico’s anticipeert, controles aanpast, snel herstelt en duidelijk rapporteert aan besluitvormers.’
In haar keynote laat Seeuws ook zien hoe het Cybersecurity Topical Requirement binnen het IIA-raamwerk helpt om de maturiteit van cybersecurity te verbeteren. Standaardisatie leidt tot betrouwbare risico-rapportages, betere governance en sterker vertrouwen bij boards en senior management. Of hoe interne audit kan fungeren als brug tussen technische beveiliging en strategische besluitvorming.
De presentatie van Katleen Seeuws op Cybersec Europe is op 20 mei 2026 om 15:35 uur op de main stage in Brussels Expo.
De insteek van cybersecurity moet zijn: “Hoe voorkom of beperk ik de schade als een corrupte medewerker een USB stick met malware draait op één van de computers binnen mijn organisatie?”
Alle andere dreigingen kunnen hiermee afgedekt worden omdat je dan vergaande maatregelen moet nemen zoals netwerk segmentatie tussen afdelingen, divisies en leveranciers en application whitelisting.
Cybersecurity blaat, dus dat wordt weer een keynote.
Ingewikkelde technische risico’s en gefragmenteerde verantwoordelijkheden met silos’s.
Dat gaat vast niet goed
Oplossing het Three Lines Model, omdat onduidelijke rollen risico’s moeilijk beheersbaar maken..
Zo van wie niet weet wat te doen weet niet wat te doen he.
Maar weer een model erbij dus, 3 Lines dat klinkt overzichtelijk.
Minder dan de 4 van bijv het agile manifesto, bovendien zat daar een complicatie in.
Elke aanbeveling bestaat daarbij uit een tegenstelling.
“Individuals and interactions over processes and tools bijvoorbeeld”
En dan ook nog “That is, while there is value in the items on the right, we value the items on the left more.” zo van: allemaal belangrijk
Easy to understand but difficult to master…. zo kennik er nog meer.
6 sigma dan, das al meteen TLDR
Kortom, 3 lijns lijkt haalbaar.
Maar niets is wat het lijkt.
in het 3 lines cybersecurity-model gaat het om
1 Eerste lijn – Operations / Business (doen)
2 Tweede lijn – Risk, Compliance & Security (controleren & adviseren)
3 Derde lijn – Internal Audit (onafhankelijk beoordelen)
Lijkt me meer een driehoek dan de gesuggereerde hierarchie.
Gelijkwaardige rollen, maar verschillende verantwoordelijkheden.
Was ik maar toch maar boswachter geworden.
Lekker buiten.
Naar de vogels luisteren..
Wie is waar verantwoordelijk voor? Eén as in een GRC-raamwerk als ik kijk naar grootste RACI probleem in het vraagstuk van cyber resilience. Want uiteindelijk draait het vooral om het beheersen van de risico’s want overmacht als excuus in de keten gaat vooral om het niet willen weten. Van risicobeheersing naar risicomijding is de insider-threat van een medewerker namelijk wel wat groter als ik de USB-stick vervang door de cloud voor het fenomeen van shadow-IT.
“Onduidelijke rollen maken risico’s moeilijker beheersbaar en ongestructureerde rapportages belemmeren bestuurders in hun sturing.”
Hacken is het werkwoord voor het vinden van de olifantenpaadjes, iets wat gebeurt als de processen zo strak en star zijn dat mensen ze gaan ervaren als een last. Terug naar wie is waar verantwoordelijk voor als ik kijk naar alle zeemeeuwen in de consultancy want de keten is meer dan één loket. Want een USB stick met malware om de centrifuges op een ander toerental te laten draaien gaat niet om stilstand maar om heimelijke verstoring,
“Succes zal in de komende jaren worden gemeten aan hoe goed een organisatie risico’s anticipeert, controles aanpast, snel herstelt en duidelijk rapporteert aan besluitvormers.”
Dat klinkt als een organisatorische verandering omdat top-down besluitvorming traag is en standaardisatie niet leidt tot betrouwbare risico-rapportages maar het temmen van de papieren tijgers. Zoiets als je druk maken om de kleur van het fietsenhok terwijl de fabriek in brand staat. Of stilstaat door ransomware nu blijkt dat processen in de keten daar erg gevoelig voor zijn vanwege datagedreven controles, de rapportage klopt maar de resultaten niet.
Zeker moet ook de raad van bestuur naar cybersecurity kijken maar kijk dan wel verder dan de modellen want meten is weten en gissen is missen. Voor wat betreft sturing in een 3-laags model is niet het model leidend maar het resultaat en
gaan de risico-rapportages hierin om de effectiviteit van de maatregelen. Never waste a good crisis is verantwoordelijkheid zonder budget gewoon slecht bestuur als ik kijk naar de prioriteringen in het laag hangende fruit.