Dineren met de CISO
Europese wetgeving, zoals de NIS2, DORA en de Cyber Resilience Act, vergroten de aansprakelijkheden van bestuurders op digitaal gebied. Hoe ga je daar als bestuurder op een goede manier mee om? Jasper Nagtegaal, directeur Digitale Weerbaarheid bij de Rijksinspectie Digitale Infrastructuur (RDI), raadt bestuurders en CISO’s aan eens met elkaar uit eten te gaan en een gemeenschappelijke taal te vinden.
Hoe zit het met de zelfredzame bestuurder? Denkt die risicogericht? Is zijn kennis geborgd? Ga als bestuurder en CISO eens met elkaar uit eten, vind een gemeenschappelijke taal. Check waar u het zelf goed doet en kijk ook naar uw leveranciers.
‘Weten is nog geen doen’ schreef de Wetenschappelijke Raad voor het Regeringsbeleid in 2017. In dat rapport stelde zij: “Naast denkvermogen is ‘doenvermogen’ minstens zo belangrijk om aan de hoge eisen van de participatiesamenleving te kunnen voldoen.” In dat rapport vroeg de WRR aandacht voor zelfredzaamheid van burgers en het belang van niet-cognitieve vermogens, zoals een doel stellen, in actie komen en volhouden.
Dezelfde stelling geldt voor de digitale weerbaarheid van onze informatiehuishouding en onze netwerken en bedrijfsprocessen. Iedere overheidsorganisatie heeft mensen in dienst of toegang tot leveranciers die helpen hierop ‘compliant’ te worden. Toch schort het ergens aan. Want in aanloop naar allerlei nieuwe wetgeving die overheden direct en indirect raakt, hoor en zie ik mitsen en maren. Begrijpelijk, maar wel onterecht in mijn ogen.
Digitale weerbaarheid zit aan de bestuurstafel, maar wordt niet gezien. Want vaak vermomd als kostenpost, als overhead, als sluitstuk op de agenda. Terwijl het aan diezelfde tafel op het hoofdmenu moet staan. Neem eens even de tijd om uw afhankelijkheid van digitalisering te doorgronden. Dat is niet alleen uw PC of iPad. Het betreft ook uw automatisering, uw pandbeveiliging, de voordeur waardoor u binnenkomt, de koffieautomaat waar u uw dag mee start, de met zonnepanelen gevoede verlichting, uw informatie op netwerkschijven of in de cloud en natuurlijk ook uw PC of iPad met multifactorauthenticatie. Afijn, u begrijpt mijn punt.
En dan denk ik weer aan de woorden van de WRR. Heel goed, die zelfredzame burger, maar hoe zit het met de zelfredzame bestuurder? Denkt die risicogericht? Is zijn kennis geborgd? Dat gaat verder dan het halen van certificaten. Die zijn prima. Of ze nu gaan over uw hardware, uw software of uw opleidingen. Ze zijn de basis. Zie ze als het ‘weten’ waar de WRR over rapporteerde. Waar het echt om gaat is het doorgronden van uw digitale weerbaarheid, en dus van het ‘doen’. Zorg voor goede stuurinformatie. Faciliteer uw professionals. Ga als bestuurder en CISO eens met elkaar uit eten, vind een gemeenschappelijke taal. Check waar u het zelf goed doet en kijk ook naar uw leveranciers. Vraag ze gerust:‘tell me, show me, proof me’, om zeker te weten dat u goed zit. Voldoen aan de BIO is een goede start. En pak vanaf daar stevig door.
Laten we een afspraak maken. Elke CISO of IB’er die ik als Cbw-toezichthouder spreek in 2026, vertelt mij dat hij of zij is uitgenodigd aan de bestuurstafel voor een inhoudelijke sessie over de digitale weerbaarheid van de organisatie. En dat er samen met de bestuurders tijd is gestopt in het leren en het ontwikkelen van de digitale zelfredzaamheid van die bestuurders. Is dat geen mooi idee? Dan zou het mooi zijn als ik daarna in mijn jaarbericht kan optekenen dat het doenvermogen van bestuurders, beslissers en beleidsmakers binnen de publieke sector ten aanzien van digitale weerbaarheid er is. En wat mij betreft is de titel van dat jaarbericht: ‘Doen omdat we weten’.
Dit artikel is gepubliceerd in iBestuur Magazine #54 van april 2025
Lees ook:
De eenvoudigste (eerste) vraag die een toezichthouder aan een uitvoerder kan stellen gaat over het hoe.Wat zijn de eisen (te beginnen met wet- en regelgeving), waar zijn die terechtgekomen in de inrichting (te documenteren via architectuur) en hoe is daarvan de werking zichtbaar en controleerbaar. Als in die (statische) informatiepositie niet voldoende is geïnvesteerd, kan de verantwoording ook niet op orde zijn. Samenwerking tussen toezichthouders is een onbesproken wettelijke plicht in het kader van zorgvuldigheid en behoorlijk bestuur.