Van IT-onderwerp tot strategische noodzaak – 30 years GUBERNA – Cybersecurity

1. Dreigingen zijn sneller, slimmer en dichterbij dan ooit
Cyberaanvallen worden steeds professioneler en zijn vaak gesteund door staten of criminele ecosystemen. AI is een tweesnijdend zwaard: aanvallers automatiseren phishing en social engineering, terwijl verdedigers AI inzetten voor detectie en anomaliebeheer. Toch blijft menselijke fout de grootste kwetsbaarheid, vooral in hybride werkomgevingen. Ransomware blijft dominant en roept ethische en juridische dilemma’s op rond het betalen van losgeld.

2. Cyber is een board issue, geen IT-probleem
Raden van bestuur moeten cyberrisico integreren in strategie, audit en enterprise risk management. De toenemende regelgevingscomplexiteit (NIS2, DORA, GDPR) vereist duidelijke rolafspraken tussen raad van bestuur, audit- en risicocomité (ARC) en management. Governance van de toeleveringsketen wordt vaak onderschat, hoewel blootstelling via derden een groot risico vormt.

3. Mensen: de zwakste schakel én het sterkste schild
Bewustmakingsprogramma’s zijn essentieel, maar moeten verder gaan dan theorie en inzetten op praktijkgerichte simulaties. Security fatigue is reëel; medewerkers hebben psychologische veiligheid nodig om incidenten te melden zonder angst. Leiderschap zet de toon: managers moeten veilig gedrag voorleven en cybersecurity integreren in modern people management.

4. Van principes naar praktijk: cyberweerbaarheid opbouwen

• Veranker cybersecurity in de bedrijfsstrategie en investeringsplanning.

• Werk risicogebaseerd: prioriteer kritieke assets en risico’s met hoge impact.

• Bereid je voor op crisissen met duidelijke incident response- en communicatieplannen.

• Gebruik technologie als versneller: zero-trust-architectuur, identiteitsbeheer, encryptie-by-default.

• Beveilig de keten: leg standaarden op aan leveranciers en veranker verplichtingen contractueel.

5. Structuren die werken: duidelijkheid boven complexiteit
Dubbele rapportering aan de raad van bestuur en het ARC werkt: de raad focust op strategie en risico-appetijt, het ARC op assurance en technische diepgang. Ritme is cruciaal: cyber moet een vast agendapunt zijn, geen reactief onderwerp. Idealiter beschikt minstens één bestuurder of adviseur over cyberexpertise.

6. ARC-voorbereidheid: vlotheid vóór formaliteit
Het ARC is effectief wanneer leden risico’s begrijpen in zakelijke termen, niet in technisch jargon. Besluitgerichte board packs en gestructureerde Q&A verhogen het vertrouwen. De verantwoordelijke executive (vaak CIO of CEO) draagt de eindverantwoordelijkheid; de CISO vertaalt complexiteit naar helderheid.

7. KPI’s die ertoe doen: minder is meer
Vermijd ijdelheidsmetrics. Besturen moeten weerbaarheidsindicatoren opvolgen zoals maturiteitstrends, time-to-detect, time-to-recover en de kost van downtime. Neem ook menselijke factor-KPI’s op (deelname aan training, awareness-tests). Harmoniseer definities binnen groepen met meerdere entiteiten om misleidende consolidatie te vermijden.

8. AI: de volgende governance-frontier
Raden van bestuur moeten AI besturen langs vier sporen: IT-efficiëntie, businessinnovatie, sandbox-experimenten en shadow AI. Bouw AI-geletterdheid op en stem toezicht af op de principes van de EU AI Act. Benader AI als een culturele shift: leid medewerkers op, definieer use cases en implementeer een roadmap.

9. Toeleveringsketens: het verborgen cyberrisico
Institutionaliseer afhankelijkheidsmapping en rapporteer hierover regelmatig. Breid toezicht uit naar diepere lagen van leveranciers en menselijke factoren. Gebruik heatmaps en escalatietriggers voor zichtbaarheid en evolueer van checklist-compliance naar risicogebaseerd leveranciersbeheer.

10. De warme handdruk: brug tussen board en executive
Bouw vertrouwen op via twee elementen: een jargonvrij board pack en een geloofwaardige verantwoordelijke executive die presenteert. Besturen moeten scherpe vragen stellen: “Hoe lang kunnen we offline zijn? Wat kost downtime?” Verantwoordelijkheid moet helder zijn, met de CISO als vertaler en de CIO/CEO als eigenaar.