Het tijdperk van bestuurlijke verantwoordelijkheid is aangebroken
De verantwoordelijkheid voor cybersecurity en dataveerkracht ligt niet langer alleen bij de CISO. Nieuwe EU-regels zoals NIS2 en DORA brengen bestuurlijke verantwoordelijkheid naar de voorgrond en houden het bredere leiderschapsteam verantwoordelijk voor cybersecurity-incidenten die onder hun toezicht plaatsvinden. Besturen kunnen nu ook individueel een boete krijgen in het geval van non-compliance.

Desondanks is het bewustzijn van deze bestuurlijke verantwoordelijkheid nog steeds te laag. Dat wil niet zeggen dat er geen draagvlak is, maar C-levels ondernemen niet genoeg actie. En het heeft geen zin om op de hoogte te zijn van een concept als je geen actie onderneemt. De urgentie lijkt er echter wel te zijn: 95% van de organisaties in EMEA gebruikt budgetten uit andere bronnen om compliance te bereiken. Het ontbreekt nu alleen nog aan concrete actie vanuit de C-suite.
Veranderende prioriteiten
De afgelopen decennia is vrijwel elke bedrijfsfunctie digitaal geworden. Hierdoor is er een exponentiële stijging van gegevens ontstaan die organisaties moeten beheren en, nog belangrijker, beschermen. Cybersecurity is daarmee een essentieel bedrijfsresultaat geworden. Dat maakt het net zo belangrijk als het commerciële aspect. Het zou dus vanzelfsprekend onder het toezicht van de C-suite moeten vallen.
Toch was dat voorheen niet zo. NIS2 en DORA formaliseren simpelweg wat er binnen organisaties al had moeten gebeuren. Voor veel organisaties zijn cybersecurity en veerkracht echter nog steeds geen prioriteit. Het is begrijpelijk dat de C-suite cybersecurity historisch gezien in handen van beveiligingsteams heeft gelaten. Toegegeven: de zakelijke waarde ervan kan soms lastig te zien zijn. Veerkrachtiger zijn en sneller herstellen in geval van incidenten heeft echter ook invloed op aandelenkoersen, omzet en klantvertrouwen. Nu C-suites meer over het onderwerp leren dankzij deze regelgeving, zouden de voordelen ervan op de lange termijn en de impact op de business moeten helpen om prioriteiten bij te sturen - naast de extra druk om aan de regels te voldoen.
Hoewel deze druk de mate van draagvlak voor bestuurlijke verantwoordelijkheid heeft verbeterd, is de praktische betrokkenheid nog steeds niet op het vereiste niveau. De overgrote meerderheid van de organisaties in EMEA gebruikt budgetten van andere bronnen om te voldoen aan NIS2. Dus hoewel ze de noodzaak van compliance begrijpen, ontbreekt het nog steeds aan een bedrijfsbrede strategie om dit te bereiken. Een belangrijke oorzaak hiervan is de complexe materie waarmee veel C-suite-managers te maken krijgen. Cybersecurity begrijpen is geen kleine opgave. Om het goed te begrijpen, moeten ze zich er zelf in verdiepen.
De sprong wagen
Het is essentieel voor leidinggevenden die hun verantwoordelijkheid in dit nieuwe tijdperk van bestuurlijke verantwoordelijkheid echt willen begrijpen, om zelf ervaring op te doen met de incidentresponseplannen van hun organisatie. Compliance vraagt namelijk om consistente naleving, niet om een eenmalig vinkje. C-levels moeten kunnen aantonen dat de incidentresponsplannen van hun organisatie werken, door het uitvoeren van frequente en diepgaande scenarioanalyses.
Deze regelgeving vereist niet dat leidinggevenden experts worden op het gebied van cybersecurity. Het gaat erom dat ze begrijpen wat er moet gebeuren wanneer een incident zich voordoet. Neem bijvoorbeeld fysieke beveiliging. C-levels hoeven geen cybersecurity-experts te worden, maar moeten wel weten wie verantwoordelijk is en of de plannen werken. Net zoals je bij fysieke beveiliging niet elk detail van het brandalarmsysteem hoeft te kennen, maar wel moet weten dat het functioneert en dat er regelmatig oefeningen plaatsvinden.
Incidentresponsplannen voor cybersecurity zijn vergelijkbaar. De effectiviteit van NIS2- en DORA-compliance hangt af van hoe goed deze plannen in de organisatie zijn ingebed. Daar moeten C-suites hun inspanningen op richten. Met een praktisch begrip van deze plannen kunnen leidinggevenden zwakke plekken identificeren en aanpakken, of dat nu is met nieuwe processen of door nieuwe, externe vaardigheden aan te trekken.
Vooruitstrevend
Net zoals deze regelgeving vraagt om consistente naleving en frequente scenariogebaseerde stresstests, zo geldt dat ook voor het cybersecuritylandschap. Kwetsbaarheden en aanvalsoppervlakken veranderen elke dag en plannen moeten daarop aangepast worden. Leidinggevenden moeten de eisen van deze regelgevingen niet zien als een vinkje, maar als een kans om een echte beveiligingsbewuste en databestendige cultuur te creëren.
Het is onmogelijk om 100% veilig te zijn. Zonder databestendigheid en beveiligingsmaatregelen zoals back-ups, kunnen C-suites niet herstellen na een inbraak, hoe compliant ze ook zijn. De eisen van NIS2 en DORA zijn geen administratieve last, maar een kans om een organisatie te bouwen die écht bestand is tegen digitale dreigingen. De C-suite heeft de sleutel in handen: nu is het tijd om die verantwoordelijkheid op te nemen.
Door: Andre Troskie, EMEA Field CISO bij Veeam