Digitale weerbaarheid hoort op het bureau van de CEO. Nieuwe analyses leggen uit dat bestuur en directie nu zelf aan het stuur moeten staan. Dat speelt in Nederland en de rest van Europa, juist dit jaar. De druk komt van strengere regels als NIS2 en DORA, en van slimmere aanvallen met kunstmatige intelligentie.
Bestuur krijgt cyberverantwoordelijkheid
Digitale risico’s zijn niet langer alleen een IT-zaak. Het gaat om bedrijfscontinuïteit, reputatie en juridische plichten. Daarom verschuift de verantwoordelijkheid naar de raad van bestuur en de CEO. Zij moeten richting geven, prioriteiten kiezen en middelen vrijmaken.
De Europese NIS2-richtlijn legt bestuurders expliciete zorgplichten op. Organisaties moeten risico’s in kaart brengen, leveranciers beheersen en incidenten snel melden. Niet voldoen kan leiden tot sancties en persoonlijke aansprakelijkheid van leidinggevenden. In Nederland wordt dit verankerd via een vernieuwde Wet beveiliging netwerk- en informatiesystemen.
Voor financiële instellingen geldt daarnaast de EU-verordening DORA. Die stelt eisen aan operationele digitale weerbaarheid, zoals testen, rapporteren en het beheersen van ICT-uitbesteding. Toezicht ligt bij DNB en AFM, op het moment van schrijven. Bestuurders moeten dus aantoonbaar sturen op deze onderwerpen.
AI vergroot het aanvalsvlak
Aanvallers gebruiken kunstmatige intelligentie om phishing en deepfakes overtuigender te maken. Grote taalmodellen, zoals GPT-4 en Gemini, helpen bij foutloze teksten in elke taal. Ook stemklonen maken misleiding via telefoon eenvoudiger. Dat verhoogt het risico voor financiële processen en HR.
Verdedigers zetten algoritmen in om afwijkend gedrag sneller te zien. Denk aan systemen in moderne EDR of SIEM-platformen die patronen herkennen. Deze tools ondersteunen analisten, maar nemen hun oordeel niet over. Menselijke controle en goede procedures blijven nodig.
AI-toepassingen op de werkvloer, zoals Microsoft Copilot of interne chatbots, vragen om duidelijke regels. Voorkom dat gevoelige data onbedoeld worden ingevoerd of gedeeld. Beschrijf wat wel en niet mag, en log gebruik voor onderzoek achteraf. Koppel dit aan training en periodieke toetsing.
Europese AI-verordening stuurt mee
De Europese AI-verordening (AI Act) deelt AI-systemen in risicoklassen in. Hoge-risicosystemen krijgen strenge eisen, zoals datakwaliteit, logging en menselijk toezicht. Regels voor generieke AI-modellen gelden gefaseerd, op het moment van schrijven. Organisaties moeten nu al inventariseren welke systemen straks onder de wet vallen.
Bestuur en directie hebben hier een regierol. Richt een register voor modellen in en wijs eigenaars aan. Test systemen vooraf met red teaming, een oefening om zwaktes te vinden. Documenteer keuzes, zodat toezichthouders ze kunnen beoordelen.
De AVG blijft daarnaast onverminderd van kracht. Pas dataminimalisatie toe en versleutel gevoelige gegevens. Voer een DPIA uit bij hoge risico’s voor personen. Zo blijven privacy en veiligheid in balans.
Digitale weerbaarheid is het vermogen om aanvallen te voorkomen, verstoringen op te vangen en snel, gecontroleerd door te werken.
NIS2 en DORA gelden nu
NIS2 verplicht tot tijdige melding van incidenten, meestal binnen 24 tot 72 uur. Het proces daarvoor moet vooraf zijn ingericht en geoefend. Ook leveranciers en kritieke toeleveranciers vallen in scope. Contracten en due diligence moeten hierop worden aangepast.
DORA vereist scenario-gebaseerd testen en herstelplannen in de financiële keten. Denk aan cyberoefeningen met betaalverkeer en handelsplatformen. Lessons learned moeten leiden tot concrete verbeteringen. Dit raakt ook cloud- en softwareleveranciers van banken en fintechs.
In Nederland ondersteunen NCSC en het Digital Trust Center met waarschuwingen en richtlijnen. Sectorale CSIRT’s bieden hulp bij incidenten. De Rijksinspectie Digitale Infrastructuur krijgt meer taken rond toezicht. Samenwerking met deze partijen versnelt herstel en beperkt schade.
Organiseer crisis en oefen
Incidentrespons staat of valt met voorbereiding. Wijs een crisisteam aan met rollen voor techniek, juridische zaken en communicatie. Leg beslisbevoegdheden vast, inclusief het inschakelen van politie of toezichthouders. Zorg dat contactgegevens en draaiboeken offline beschikbaar zijn.
Back-ups moeten onveranderbaar zijn en buiten bereik van het productienetwerk. Test terugzetten op realistische tijdsdoelen. Monitor twee meetpunten: detectietijd en hersteltijd. Rapporteer deze maandelijks aan bestuur en auditcommissie.
Communicatie vraagt een helder plan. Stel kernboodschappen op voor klanten, medewerkers en partners. Bepaal wanneer en hoe je publiceert op de website en sociale media. Houd rekening met meldplichten onder NIS2, DORA en de AVG.
Keten en cloud onder controle
Veel risico’s zitten in de keten. Breng kritieke SaaS-diensten, cloudproviders en softwarebibliotheken in kaart. Vraag om onafhankelijke verklaringen, zoals ISO 27001 of SOC 2. Controleer ook patchbeleid en kwetsbaarhedenbeheer.
Softwareleveranciers zouden een SBOM moeten leveren, een lijst van gebruikte componenten. Dat versnelt reageren op gaten in open-sourcepakketten. Inkoop kan hier eisen voor opnemen. Leg prestatie-eisen en meldplichten contractueel vast.
Technisch helpt een zero-trust-aanpak. Beperk toegang strikt en verleen rechten tijdelijk. Segmenteer netwerken, zodat een aanval zich niet kan verspreiden. Log en corrigeer afwijkend gedrag automatisch waar mogelijk.
Tot slot hoort dit alles bij gewoon bedrijfsbestuur. Koppel digitale risico’s aan bedrijfsdoelen en budget. Meet voortgang met duidelijke KPI’s en externe toetsing. En maak het zichtbaar: digitale weerbaarheid begint en eindigt aan de bestuurstafel.
