Wordt cyberveiligheid met NIS2 een zaak voor het topmanagement? Wordt de technische kwestie een managementkwestie? Sabika Ishaq, Chief Information Security Officer bij Grant Thornton Luxemburg, beantwoordt deze vragen. Een waardevolle mening.

Een van de belangrijkste boodschappen van NIS2 is dat goede beveiliging in een organisatie begint bij het management… en niet bij firewalls, gepantserde kabels of biometrische gegevens! Het senior management speelt een veel belangrijkere rol bij het realiseren van beveiliging dan ze denken,” zegt Sabika Ishaq.

NIS2 vereist dat het senior management een actieve rol speelt in het beheer van cyberbeveiliging, waarbij wordt benadrukt dat het niet langer alleen een IT-kwestie is, maar een belangrijk zakelijk aandachtspunt. “Deze verschuiving betekent een transformatie waarbij technische details worden geïntegreerd in bestuurlijke besluitvormingsprocessen.” Dit vereist een holistisch begrip van cyberbeveiligingsrisico’s en veerkrachtstrategieën op leidinggevend niveau. De CISO van Grant Thornton is van mening dat organisaties een cultuur moeten bevorderen waarin cyberbeveiliging is ingebed in het weefsel van hun activiteiten, waarbij het leiderschap de agenda aanstuurt om digitale middelen te beschermen en de bedrijfscontinuïteit te handhaven.

Paradigmaverschuiving

Onder de NIS 2-richtlijn wordt cyberbeveiliging niet langer gezien als een reactieve oefening op basis van periodieke indicatoren, maar als een proactief en strategisch middel om risico’s te beperken en veerkracht op te bouwen. Deze paradigmaverschuiving vereist een fundamentele heroverweging van de manier waarop organisaties cyberbeveiliging benaderen, en vereist toegewijd sponsorschap op de hoogste managementniveaus. “Het is noodzakelijk dat cyberbeveiliging wordt geïntegreerd in de bredere strategische doelstellingen van de organisatie, met steun en investeringen van de top om zinvolle veranderingen teweeg te brengen. Dit betekent dat initiatieven op het gebied van cyberbeveiliging moeten worden afgestemd op de bedrijfsdoelstellingen, middelen dienovereenkomstig moeten worden toegewezen en een cyberbeveiligingsmentaliteit op alle niveaus van de organisatie moet worden verankerd. Bedrijven die dit nieuwe paradigma omarmen, zullen beter in staat zijn om te gaan met het veranderende bedreigingslandschap en te profiteren van opkomende kansen in het digitale tijdperk.”

Of onze bedrijven klaar zijn voor deze verandering, verschilt per bedrijfslandschap. Sommige organisaties hebben deze verandering omarmd en erkennen de noodzaak om cyberbeveiliging te integreren in hun strategische planning en besluitvormingsprocessen. Deze vooruitstrevende bedrijven hebben proactieve stappen ondernomen om solide governancestructuren op te zetten, voldoende middelen toe te wijzen en een cultuur van bewustzijn en verantwoordelijkheid op het gebied van cyberbeveiliging te cultiveren. “Ze begrijpen dat cyberbeveiliging niet alleen een IT-kwestie is, maar een zakelijke noodzaak die holistische betrokkenheid en inzet in de hele organisatie vereist.

Andere bedrijven kunnen echter nog steeds worstelen met de overgang, met uitdagingen zoals een beperkt bewustzijn, weerstand tegen verandering of concurrerende prioriteiten. Voor deze organisaties kan de reis naar het adopteren van cyberbeveiliging als strategisch bedrijfsmiddel extra educatie, pleitbezorging en ondersteuning vereisen. “Het is essentieel dat leiders beoordelen in hoeverre hun organisatie er klaar voor is, hiaten identificeren en concrete stappen ondernemen om deze te dichten.”

Management, een tastbare stimulans

Aangezien het toepassingsgebied van NIS2 is uitgebreid naar andere sectoren dan de traditionele kritieke infrastructuur, is dit bovendien duidelijk een belangrijke stimulans voor deze nieuwe gereguleerde sectoren om prioriteit te geven aan cyberbeveiliging. Veel organisaties in deze sectoren krijgen mogelijk voor het eerst te maken met regelgeving op het gebied van cyberbeveiliging,” merkt Sabika Ishaq op. Dit zal hen een tastbare stimulans geven om te investeren in cyberbeveiligingsmaatregelen en inspanningen op het gebied van compliance.”

Binnen dit nieuwe paradigma is het essentieel dat cyberbeveiliging niet langer alleen wordt benaderd door middel van periodieke indicatoren, maar als een strategisch instrument, ondersteund door een toegewijde sponsor. De CISO van Grant Thornton Luxemburg legt uit waarom. “Er is overtuigend bewijs dat succesvolle cyberaanvallen resulteren in onverwachte negatieve schokken voor de reputatie van een bedrijf, die de beursactiviteit negatief beïnvloeden en de welvaart van belanghebbenden belemmeren. In reactie hierop zijn leidinggevenden opgeroepen om een meer centrale rol te spelen in de manier waarop hun bedrijven de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en informatie beheren, aangezien dit een essentieel risico is geworden voor organisaties.”

We zien dat de perceptie van leidinggevenden van de impact van cyberveiligheid op hun organisatie hun strategische beslissingen aanzienlijk beïnvloedt, inclusief het toezicht op de regelgeving. De potentiële schade van cyberaanvallen is aanzienlijk in termen van bedrijfscontinuïteit, diefstal van vertrouwelijke informatie en reputatieschade.

Verschillende niveaus van bewustzijn

Nog steeds. Zelfs met dit groeiende gevoel van urgentie is er steeds meer verwarring over wat er moet gebeuren en hoe. Leidinggevenden en ondernemers staan perplex van de complexiteit van de problemen en zorgen. “Hoewel NIS 2 het mogelijk maakt om managers verantwoordelijk te stellen voor inbreuken op de cyberbeveiliging, verschilt hun bereidheid en bewustzijn van hun verantwoordelijkheden per organisatie. Sommige bedrijven hebben misschien al proactieve stappen ondernomen om ervoor te zorgen dat het management zich volledig bewust is van hun rollen en verplichtingen op het gebied van cyber security governance. Maar hoeveel?”

Dit kan inhouden dat er training en opleiding wordt gegeven over de beste cyberbeveiligingspraktijken, dat er robuuste governancekaders worden geïmplementeerd en dat er binnen de hele organisatie een cultuur van verantwoordelijkheid wordt gestimuleerd. In andere gevallen is het echter mogelijk dat het management nog bezig is om de implicaties van de richtlijn te begrijpen en hun acties daarop af te stemmen. Bijgevolg blijven voortdurende opleidings- en bewustmakingsinspanningen noodzakelijk om ervoor te zorgen dat het senior management, en het management in het algemeen, toegerust zijn om zich effectief van hun verantwoordelijkheden te kwijten.

Interview door Alain de Fooz