Meer bestuurders willen controle over digitale veiligheid
Steeds meer bestuurders worden zich bewust van hun verantwoordelijkheid voor de digitale weerbaarheid van hun organisatie. Met de komst van nieuwe regelgeving, waaronder NIS2, zullen ze ook wel moeten. Reden voor de Online Trust Coalitie om een bijeenkomst te beleggen over de impact van nieuwe Europese wetgeving op de rol van de bestuurder.
Adviseur Digitale Zaken en voormalig Tweede Kamerlid Kees Verhoeven sprak met NOREA-voorzitter Irene Vettewinkel, Inspecteur-Generaal RDI Angeline van Dijk, adjunct-directeur Digitale Economie bij EZK Martijn Lucassen en CIO CZ Peter Slager.
Verdiepen is nodig
“De digitale veiligheid en weerbaarheid wordt voor bestuurders steeds belangrijker”, vertelt Verhoeven. “Omdat organisaties steeds vaker aangevallen worden, maar ook omdat er allerlei Europese wetgeving waaronder de NIS2 aankomt, waarbij bestuurders verantwoordelijk worden gehouden voor de digitale veiligheid van hun eigen organisatie en ook het netwerk waarin ze zich bewegen. Zaken die eerder bij CIO werden neergelegd en alleen bij calamiteiten op de bestuurstafel terechtkwamen, worden nu een verantwoordelijkheid voor het hele bestuur. Zij moeten zich hierin dus echt verdiepen.’
Verhoeven hoorde tijdens de bijeenkomst op 1 november jl. zeer verschillende geluiden over het wel en niet in controle zijn over digitale weerbaarheid. “Je kan denken dat je heel ver bent, maar enkele maanden later kunnen er weer allerlei nieuwe ontwikkelingen zijn. De ene bestuurder denkt dat nieuwe regelgeving prima is uit te voeren, anderen geven aan dat er ongelooflijk veel op ze afkomt.”
Algehele fitheid op gebied van IT
Irene Vettewinkel, voorzitter van de Beroepsorganisatie van IT-auditors NOREA, ziet dat het nog niet voor alle bestuurders duidelijk is dat ze stappen moeten nemen om te gaan rapporteren over getroffen maatregelen op gebied van onder meer cybersecurity. “We hebben aanwezigen daarom uitgelegd hoe je inzicht kan krijgen in de algehele fitheid op gebied van IT. Ook zijn we begonnen met IT-verslaggevingsstandaarden die organisaties kunnen gebruiken met bijvoorbeeld cybersecurity, outsourcing, datagovernance en ethiek & privacy.” Vettewinkel hoopt dat het bewustzijn hierover verder wordt vergroot. “Omdat er veel verschillende regelgevingen zijn zien bestuurders door de bomen het bos niet meer.”
Minder over financiën, meer over IT
Wat Vettewinkel bespeurt is dat er door bestuurders vaak gesproken wordt over het beheersen van financiën en minder IT. “Terwijl eigenlijk IT toch je backbone van je organisatie is. Iedereen is er afhankelijk van.” Ze hoopt dat bestuurders voor complexe vraagstukken NOREA weten te vinden. “Omdat wij vanuit onze onafhankelijke positie ook antwoorden kunnen geven.”
Zowel Vettewinkel als Verhoeven constateren dat er weliswaar veel bestuurders aanwezig waren, maar dat dit vermoedelijk degenen zijn die niet gemotiveerd hoeven worden om met de uitdagingen aan de slag te gaan. “Een grote groep bestuurders wil er graag mee aan de slag, de vraag is alleen of zij het goed overgebracht krijgen naar hun organisatie”, aldus Verhoeven. Hij gaat er – net als Vettewinkel – vanuit dat er vervolgbijeenkomsten over het thema zullen volgen.