Cybersecurity: Zijn de Belgische bestuurders en bestuursraden er klaar voor? Bouw mee aan de droom: ‘It comes from Belgium, so it must be safe’.

Alex, welkom. Kan je jezelf even voorstellen?

Jazeker Chris, en dankjewel voor de uitnodiging. Mijn hoofdactiviteit is CEO van Toreon, een Belgische consultant die de transitie naar cyber-trusted organisaties en producten wil versnellen. De consulting tak van Toreon heeft twee activiteiten. Ten eerste helpen wij organisaties om op een economisch verantwoorde manier hun cyberuitdagingen onder controle te krijgen. Dat doen we vooral in België, met klanten gaande van SaaS-start- en scale-ups over industriële - en energiebedrijven t.e.m. grote delen van de federale overheid. Ten tweede activiteit helpen we teams die software ontwikkellen zich zo te organiseren dat ze bijna automatisch veilige software- of digitale producten uitspuwen, zonder dat dat de ontwikkelkost doet exploderen of de time-to-market vertraagt. In deze activiteit hebben we een wereldwijde reputatie opgebouwd, en werken we o.a. voor internationale kleppers zoals J&J Medtech in Boston, Costco in Seattle, Accenture US, een topbank in de UK, en zelfs voor de geheime dienst van een van onze buurlanden.

Daarnaast zijn we ook actief in training, onder het merk DPI. We trainden al meer dan 3000 DPO’s en CISO’s. Op die manier dragen we ons steentje bij aan de talent schaarste. Daarnaast trainen we ook kleinere doelgroepen (zoals bestuurders), die we wegwijs maken in de context van NIS-2.

Met Toreon zijn we ook redelijk actief in de wat bredere community. Zelf heb ik inderdaad het GUBERNA Sounding Board Committee Cybersecurity opgericht waarmee we ijveren om bestuurders beter te wapenen in cyber. Ik run de steerco Cyber Made in Belgium binnen Agoria. Deze cel behartigt de belangen van de cyber industrie in Belgie. Verschillende van mijn collega’s leiden werkgroepen bij andere organisaties, in Belgie bv. binnen de Cyber Security Coalition, en wereldwijd bij bv. OWASP, de organisatie die onveilige software de wereld wil uithelpen.

Waarom hebben jullie een Sounding Board Committee over Cybersecurity opgericht vanuit de GUBERNA Directors community? Met welke missie?

Omdat cyber steeds belangrijker wordt voor bestuurders. Bestuursraden moeten zorgen dat de organisatie in de zone van ‘sustainability’ blijft opereren. Dat is een intersectie van drie lenzen:

• ‘law’: wat moet je doen?,
• ‘ethics’: wat zou je moeten doen, wat is goed om te doen?
• ‘economics’: hoe zorg ik ervoor dat ook economisch één en ander zin maakt en duurzaam is?

Cyber zorgt vandaag voor druk op elk van die drie lenzen: de regulering op de lens van ‘law’ bv. NIS2 met effect op organisaties en verantwoordelijkheden van bestuurders. Maatschappelijke druk op de ‘ethics’ doordat mensen bv. niet meer zomaar aanvaarden dat hun data als klant zomaar op straat terechtkomt of dat de dienstverlening niet meer ter beschikking is als een software of toeleverancier niet meer naar behoren werkt. En vanuit economisch standpunt kan de kost van een breach gigantisch zijn. Denk bv. aan de NotPetya cyber aanval bij Maersk waardoor ze niet meer wisten waar de containers wereldwijd stonden. Dit heeft hen ca. 400 miljoen euro gekost. Ook de case van TNT is gekend, met een schade van ca. 300 miljoen en de stad Antwerpen met – volgens persinformatie- een schade van 100 miljoen euro. Nog belangrijker dan de kost van een ‘breach’, is de druk vanuit klanten erop toe te zien dat toeleveranciers voldoende veilig zijn. Zij kunnen namelijk de oorzaak zijn van een cyberattack, zoals eerder gebeurde met een boekhoudprogramma. Dit verwacht je op het eerste zicht niet.

Bewustzijn bij bestuurders is inderdaad belangrijk. Ze moeten zich voldoende inlichten en kennis opdoen over cyber. Hoe pakt jullie comité dat aan?

De groep samenstellen was eenvoudiger dan ik had verwacht. Mensen beseffen dat een gebrek aan degelijke cybersecurity niet enkel invloed heeft op bedrijven en bestuurders, maar op de snelheid van digitalisatie. Hierdoor riskeren we de nodige productiviteitswinsten in onze regio niet te realiseren. Dat besef heerst in de cyber community. Ik ben dan ook zeer verheugd dat we een goed team van experten met affiniteit voor ‘board level governance’ hebben kunnen samenstellen: Marc Vael van Veralto, Iwona Muchin van Ageas, Jochen Maertens van ConXion, Dirk Schilders, voormalig ICT directeur bij de The Council of the European Union en tot recent Olivier Braet van GUBERNA.

Met hen kunnen we content maken voor bestuurders door bestuurders. We zijn begonnen met een peilingstudie: waar staan raden van bestuur en voelen individuele bestuurders zich comfortabel m.b.t. cybersecurity? We willen vandaaruit een pad uitwerken voor bestuurders om op termijn te komen tot het delen van ‘best practices’ tussen bestuursraden en individuele bestuurders, en bestuurders onderling. Wie weet komt er een specifieke opleiding bij GUBERNA om expertise aan te reiken.

De resultaten van de bevraging waren ietwat rooskleuriger dan wat we dagdagelijks in de praktijk zien. Hier speelt wellicht een selectie bias, waarbij diegene met kennis qua cyber zich meer geroepen voelen te antwoorden. Je ziet ook clusters ontstaan, in vier kwadranten. Met op de ene as de ‘regulated industries’, die hebben de zaken wellicht op orde, tot de ‘non regulated industries’, waar dit wat varieert. Op de andere as speelt de mate waarin cybersecurity bekeken wordt als een ‘moetje’ of wordt uitgespeeld als een differentiator, waardoor je het anders aanpakt. Men zou kunnen vergelijken met het onderwerp duurzaamheid in het bestuur. Hierdoor ontstaat de opportuniteit om aan te brengen wat de minder goeden kunnen leren van de best in class.

Zo kan men bv. nagaan in welke mate de cyberaanpak gealigneerd is met de business strategie. Cybersecurity richt je in in een bepaald kader, niet zomaar voor de cyber. O.a. de activiteit van de organisatie geeft aan wat belangrijk is om te beveiligen. Voor een luchthaven is dat bv. beschikbaarheid, voor een sociaal secretariaat vertrouwelijkheid, voor een bank integriteit.

Een ander element dat speelt is de levenscyclus van een organisatie. Zo is bij een start up aanvankelijk geen druk om cybersecurity in te richten want het ‘minimum viable product’ moet eerst gebouwd worden. Wanneer je de eerste corporate prospect tegenkomt, stelt die wellicht wel eisen op vlak van cyber. Dan begin je daaraan te werken en kan je doorgroeien naar een certificatie. Bij een scale-up ga je verder werken om bij ontwikkeling reeds veilige software te maken zonder langere ‘time-to-market’, maar toch veilig en economisch verantwoord.

Een bijkomend belangrijk aspect bij het aligneren van je cyber met je business strategie is: ga je cybersecurity gebruiken als differentiator naar de markt toe? We hebben bv. een techspeler in additive manufacturing die naar de beurs is gegaan op Nasdaq en op het ‘billboard op Times Square’ ter gelegenheid van de IPO hebben zij gekozen voor de slogan: ‘the most secure platform’. Denk hier op voorhand over na in je strategie, evenals over proactief risk management.

Training hierover is zeer nuttig, ook voor onafhankelijke bestuurders. Zij moeten hierover het management kunnen challengen. Ook heeft het impact op hun verantwoordelijkheden (‘liabilities’) als bestuurder. Er bestaan ook frameworks toepasselijk voor diverse bedrijfstakken die relevant zijn en waarop je je kunt baseren. Het is onderhand wel duidelijk dat je cyber niet als iets totaal los van de bedrijfsvoering dient te zien, maar het maakt er een integraal deel van uit en treft iedereen in de organisatie. Hier geldt ook de regel van de zwakste schakel je kwetsbaarheid bepaalt. De rollen en verantwoordelijkheden qua cyber moeten dan ook goed bepaald zijn. Weef dit in de cultuur van het bedrijf en in de organisatie van goed bestuur. Dit is één van de resultaten van de recente survey van de Sounding Board Committee.

En wellicht de voornaamste vraag : wat ligt er klaar qua recovery en response plan als er zich een belangrijk incident voordoet. Rollen en namen in het incident team, communicatieteam, hoe omgaan met verzoeken om betaling van losgeld, rollen van individuele bestuurders, …? Leg dit vooraf vast want als het huis in brand staat is er geen tijd meer voor. En vooral test en simuleer regelmatig en actualiseer dit.

Cyber wordt meer gereguleerd in Europa. Zo is er bv. de NIS-2 Directieve (Netwerk Information System) die op 18 oktober in voege komt in België. Kan je daar iets over vertellen?

Europa wil dat de participanten in ons maatschappelijk weefsel veiliger werken. Gezien we super afhankelijk zijn van het digitale en ook de ‘attack surface’ (de hoeveelheid die vanuit de buitenwereld toegankelijk is) is toegenomen, maakt dat ons kwetsbaarder. De combinatie van veel meer punten om binnen te geraken en de afhankelijk ervan kan uitmonden in een explosieve cocktail. Het is logisch dat Europa dit meer wenst te beveiligen.

NIS-1 beperkte zich tot de meest kritische sectoren zoals bv. kerncentrales. NIS-2 breidde de scope qua organisaties enorm uit. Het is een combinatie van in welke sector ben je actief op de ene as en wat is de grootte van je bedrijf op de andere as. In de ene sector wordt alles meegenomen, in de andere sector alleen de grote bedrijven. Maar hier stopt het niet mee. Ook toeleveranciers in de toeleveringsketen van zulke bedrijven moeten voldoen aan een reeks van regels. Als je dit doortrekt wordt uiteindelijk quasi de hele maatschappij getroffen.

De nieuwe regelgeving omvat een meldingsplicht en boetes. Boetes zijn nu stevig ingevoerd, vergelijkbaar met GDPR regelgeving (tot 10 miljoen euro of 2% van de wereldwijde omzet). Er wordt nu ook expliciet verwezen naar ‘personal liability’ van bestuurders en management. Je moet onder andere kunnen aantonen dat je opgeleid bent. Kijk dan ook je ‘liability’ verzekeringspolis na en wees attent voor deze risico’s in je beleid. Dus wees een goede huisvader en huismoeder in deze materie, zowel als organisatie als individu.

De intensiteit zal afhangen waar je in de wereldwijde keten opereert. Er zit best wat complexiteit in deze regelgeving. Gelukkig hebben we in België de CCB, Centre for Cyber Community Belgium . Zij stellen op basis van hun expert- en praktijkervaring heel wat tools ter beschikking in het kader van deze regelgeving. Zij hebben o.a. een lijst van zeven stappen met een tijdslijn. De CCB heeft eveneens een framework uitgewerkt: ‘cyber fundamentals’ met vier categorieën, naargelang of je tot een superkritische sector (zoals bv een kerncentrale) behoort of een laag kritische (zoals een bakker bv.). Zij komen tot een zeer praktisch toepasbaar raamwerk om te zorgen dat je aan de diverse reguleringen tegemoet komt.

Maak niet de fout te denken dat door NIS-2 compliant te zijn, het werk af is. Er zijn nog andere reglementeringen op komst. Zo is naast de regulering voor de organisatie waar NIS-2 op van toepassing is, binnenkort de CRA (Cyber Resilience Act) op komst. Die laatste gaat over de cyberveiligheid van producten. Ontwikkel je bv. digitale producten voor gebruik in de EU, dan zal dit ook de nodige aandacht vergen.

Hoe staan we ervoor in België, qua cyber?

Eigenlijk staan we er in België nog niet zo slecht voor. De CCB onder leiding van Miguel de Bruycker is er de laatste 10 jaar in geslaagd om een fantastisch team samen te stellen met super gedreven cyberexperten. En zij zijn met zijn allen erin geslaagd om België op nummer 1 in Europa te krijgen van minst cybergevoelig land door diverse zaken:

• Proactief bedrijven te scannen op eventuele gaten in de systemen,
• Deze bedrijven dan te contacteren, zelfs met een klassieke brief,
• In te grijpen bij telecoms, IP’s, over verdachte zaken zodat deze niet bij de bedrijven of eindgebruiker geraken, enz.

Hier mogen we mijns inziens echter niet stoppen. België heeft het potentieel om door te groeien naar een Cyber Power House, waar ons land een internationale reputatie kan opbouwen van ‘top class’ in cyberveiligheid. Hoe kunnen we dit bereiken? O.a. door strenge normen te hanteren op veiligheid van de organisatie en van de producten die we bouwen en daardoor onze organisaties naar een hoger niveau tillen. De droom is ooit te komen tot een positionering van ‘It comes from Belgium, so it must be safe’. Dit zou dan een mooie differentiator zijn in de internationale arena. We hebben het talent, we hebben instellingen die wereldtop zijn op vlak van onderzoek in dit domein zoals Cosic (Computer Security and Industrial Cryptography) en DistriNet van KuLeuven, we hebben de CCB... Andere landen kijken vandaag bv. naar CCB ter inspiratie. Soit, deze droom maakt dat ik zo gedreven ben in deze community.

Nog een laatste aanbeveling voor bestuurders?

Zorg voor balans. Zorg ervoor dat de cybersecurity in lijn blijft met je overall business en je corporate strategie. Doe niet te weinig, doe niet te veel. Net genoeg voor wat je business nodig heeft, anders verspil je middelen. Zeer praktisch, volg de publicaties van de CCB op hun website. Hun 10 topics maken al 80 % van het verschil zonder wezenlijke inspanningen. Zeer basic, maar ook praktisch om te beginnen. Uiteraard, volg de publicaties van GUBERNA en onze Sounding Board Committee. En het belangrijkste: schiet in actie. Preventie is goedkoper dan recovery en het helpt je business vooruit. Ofwel om je ‘table stake’ te verdienen, ofwel omdat je het kan uitspelen als differentiator.

Background information

We raden bestuurders aan de volgende externe objectieve bronnen te raadplegen met praktische regelingen en hulpmiddelen die relevant zijn voor bestuurders.

• https://www.guberna.be/en/guberna-sounding-board-committee-cybersecurity

• https://safeonweb.be/en

• https://ccb.belgium.be/en

• https://www.cyfun.be

• https://atwork.safeonweb.be/tools-resources/policy-templates

• https://www.enisa.europa.eu/

Regelgeving die van invloed is op cyberbeveiligingsbeslissingen en monitoringverantwoordelijkheden:

• EU NIS2 directive: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive  Are you an important or an essential business in Europe?

• EU AI Act: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

• Are you in a high-risk activity or a limited-risk category?

• EU Cyber Resilience Act: https://digital-strategy.ec.europa.eu/en/policies/cyberresilience-act  - Will you still be able to sell and maintain your technology-enabled products in the EU?

• EU CSRD: https://finance.ec.europa.eu/capital-markets-union-and-financialmarkets/company-reporting-and-auditing/company-reporting/corporatesustainability-reporting_en#legislation  - Is your cybersecurity service provider in your scope 3 emissions?

• DORA - Digital Operational Resilience Act (DORA) - European Union (europa.eu)