Royal Swinkels

Waarom cybersecurity in de boardroom thuishoort

Auteurs

5 minuten leestijd 25 feb 2026

De frequentie en complexiteit van cyberaanvallen, toenemende Europese regelgeving en geopolitieke ontwikkelingen maken van cybersecurity een boardroom issue.

In het kort:

  • Onder andere wettelijke cybersecurity kaders zijn essentieel om de collectieve veiligheid te waarborgen en deze continu te verbeteren.
  • Cybersecurity raakt de hele organisatie en vraagt om scherpe keuzes over kritieke functies ten behoeve van de organisatie weerbaarheid.
  • Hiermee is cybersecurity geen kostenpost, maar een continue investering en een onderwerp dat blijvend om aandacht in de boardroom vraagt.

Cybersecurity als structureel bestuursvraagstuk

Cybersecurity is al jaren één van de grootste bedrijfsrisico’s en is inmiddels uitgegroeid tot een structurele uitdaging op bestuursniveau. Waar cyberincidenten voorheen voornamelijk werden gezien als technische storingen, raken ze nu direct de kern van organisaties: van de continuïteit van de bedrijfsvoering en de financiële stabiliteit tot de reputatie en zelfs vitale maatschappelijke functies. “Het is niet alleen een IT-issue, maar een volwaardig business issue,” benadrukt Rudrani Djwalapersad, Partner Technology Consulting & Cybersecurity bij EY. Cyberaanvallen worden steeds frequenter en geavanceerder, terwijl organisaties afhankelijker zijn geworden van digitale ketens. Daarnaast zorgen toenemende Europese regelgeving en geopolitieke spanningen voor een onvoorspelbaar dreigingslandschap. Dit vraagt om een fundamenteel andere mindset van West-Europese organisaties. Bestuurders en toezichthouders kunnen zich niet meer beperken tot incidentrapportages achteraf; structurele aandacht voor cybersecurity op boardniveau is noodzakelijk.

Dreigingen van ransomware tot geopolitieke dreigingen

Ransomware is nog steeds de meest voorkomende aanvalsvorm, waarbij organisaties digitaal gegijzeld worden om losgeld af te dwingen. Aanvallers gaan steeds gerichter te werk en kiezen doelwitten waarvan zij verwachten dat betaling onvermijdelijk is, bijvoorbeeld door de afhankelijkheid van snel herstel en kwetsbaarheid door de aard van vertrouwelijke informatie, maar ook het ontbreken van back-ups of herstelcapaciteit. En door betaling blijft de business case voor de aanvaller aanwezig en blijft ransomware hardnekkig op nummer één van cyberaanvallen staan.

Daarnaast zijn er diverse zogenaamde key disruptors als nieuwe dreigingen. Geopolitieke instabiliteit speelt hierbij een steeds grotere rol, waarbij cyberaanvallen worden ingezet als verlengstuk van internationale spanningen. Digitale sabotage kan snel escaleren naar fysieke ontwrichting. Ook nieuwe technologieën zoals AI en quantum computing bieden kansen maar ook risico’s.

Regeldruk als versneller van cyberweerbaarheid

Europa heeft digitalisering en cyberweerbaarheid hoog op de agenda gezet, wat resulteert in een stroom aan nieuwe wet- en regelgeving. Op organisatie-niveau zijn drie kaders zijn vooral relevant: regels voor digitale operationele weerbaarheid in de financiële sector, de nieuwe cyberbeveiligingsrichtlijn NIS2 en de wetgeving rond de weerbaarheid van kritieke entiteiten.

Daarnaast is er wetgeving op product-niveau die vereist dat digitale producten gedurende hun volledige levenscyclus veilig blijven.

Hoewel deze regels soms als belastend worden ervaren, is de onderliggende logica helder: zonder wettelijke kaders zou de collectieve beveiliging onvoldoende verbeteren. Vergelijk het met verkeersregels: bedoeld om collectieve veiligheid te waarborgen, niet om te pesten.

Peter Kornelisse, Partner Technology Risk bij EY: “De uitdaging is dat veel regelgeving risicogebaseerd is. In plaats van exacte maatregelen voor te schrijven, leggen deze regels de verantwoordelijkheid bij de organisatie zelf. Dit vraagt om volwassen governance, waarbij organisaties werken met een geïntegreerd control framework dat continu wordt aangepast aan nieuwe eisen.”

NIS2: urgentie en complexiteit

Voor veel organisaties is NIS2 momenteel het meest urgent. Deze richtlijn verplicht organisaties in essentiële en belangrijke sectoren om hun cyberweerbaarheid aantoonbaar op orde te brengen. Een eerste stap is bepalen of NIS2 van toepassing is, wat in de praktijk ingewikkeld kan zijn, vooral bij internationale organisatiestructuren. Een verkoopkantoor kan buiten scope vallen, terwijl een fabriek in hetzelfde land er wel onder valt.

Verder is het belangrijk te beseffen dat NIS2 een richtlijn is en geen verordening, waardoor lidstaten van de EU elk zelf in lokale wetgeving dienen om te zetten. Multinationale organisaties krijgen daardoor te maken met verschillende nationale varianten.

Ongeacht deze onzekerheden is het van belang dat organisaties nu al aan de slag gaan, omdat het voldoen NIS2-wetgeving een behoorlijke inspanning en doorlooptijd kan vragen. De boodschap: wachten op formele wetgeving brengt aanzienlijke risico’s met zich mee.

Hoe EY kan helpen

  • Technology Risk

    Lees meer over de Technology Risk diensten en hoe ze bijdragen aan hoogwaardige audits en andere diensten op het gebied van assurance, verklaringen, certificering en beoordeling.

    Lees meer

De kracht van de basis

Ondanks alle complexiteit is de basis van cybersecurity nog steeds doorslaggevend. “Elke organisatie kan zich aanzienlijk beter beveiligen door de basismaatregelen voor informatiebeveiliging op orde te brengen,” aldus Djwalapersad. De basis bestaat uit vijf elementen: inzicht in risico’s, bewustwording van veilig gedrag, technische bescherming van systemen, strakke toegangsbeheersing en goede voorbereiding op incidenten. Minder digitale blootstelling betekent bovendien een kleiner aanvalsvlak.

 

Van cyber naar operationele weerbaarheid

Cybersecurity staat niet op zichzelf. Organisaties krijgen te maken met verstoringen die verder gaan dan IT, zoals uitval van leveranciers, cloudstoringen, pandemieën en klimaatrisico’s. Dit vraagt om een integrale benadering van operationele weerbaarheid: het vermogen om verstoringen te voorkomen, te weerstaan, erop te reageren, te herstellen én ervan te leren. Een sleutelbegrip hierbij is de minimum viable organization: welk deel van de organisatie moet zo snel mogelijk weer functioneren na een ernstige verstoring? Dit vereist scherpe keuzes over kritieke functies, de onderliggende processen en assets, zoals mensen, IT, data, leveranciers en locaties. In theorie is deze informatie vaak al beschikbaar, maar verspreid over verschillende systemen. Daardoor onderbreekt overzicht op het moment dat het ertoe doet. Het is essentieel om direct de impact (“blast radius”) wanneer een incident optreedt.

 

Van incidentrapportages naar risicomanagement

Goede rapportage richting bestuurders en toezichthouders is essentieel, maar blijft vaak steken in incidentoverzichten en technische details. Effectieve boardrapportage over cybersecurity bevat vijf elementen: restrisico’s, relevante dreigingstrends, effectiviteit van maatregelen, significante incidenten en voortgang op verbeterplannen.

 

Het restrisico – wat overblijft na alle getroffen maatregelen – wordt opvallend weinig besproken, terwijl alle beveiligingsmaatregelen uiteindelijk het resultaat zijn van risicokeuzes. “Zonder dat inzicht in restrisico’s kan een bestuur niet effectief sturen”, aldus Kornelisse.

 

Ook de rol van de CISO is cruciaal en moet aansluiten bij de schaal en complexiteit van de organisatie. In kleinere organisaties ligt het accent op techniek, in grotere op governance en cultuur. Een mismatch kan ertoe leiden dat essentiële informatie het bestuur niet of te laat bereikt.

De waarde van investeren in weerbaarheid

Cybersecurity wordt vaak gezien als kostenpost, maar dit perspectief is te beperkt. Organisaties met aantoonbaar sterke digitale weerbaarheid kunnen profiteren van lagere verzekeringspremies en cybersecurity kan zelfs een concurrentievoordeel opleveren. Klanten en partners verlangen steeds vaker bewijs van cyber-weerbaarheid.

Samenvatting

Cybersecurity is geen eenmalige investering en geen exclusieve IT-aangelegenheid. Het is een continu proces dat raakt aan strategie, governance en cultuur. Niet alleen rapporteren over incidenten, maar deze vertalen naar impact op de business. Wie dat begrijpt, vergroot niet alleen zijn veiligheid, maar ook zijn toekomstbestendigheid.

Over dit artikel

Auteurs

Gerelateerde topics
Cybersecurity
Technologie
Risk

Lees ook

Is de financiële sector klaar voor de transitie naar post-quantum cryptografie?

Ontdek hoe de vooruitgang in quantumcomputing risico’s vormt voor de cryptografie van de Nederlandse financiële sector en de dringende noodzaak van post-quantum oplossingen.

Ruurd Boomsma

Digitale soevereiniteit in de publieke sector

Digitale soevereiniteit vraagt om risicogestuurd cloudgebruik. Dit artikel biedt handvatten voor segmentatie, exit, continuïteit en Europese alternatieven.

Erik Vermeulen + 1

Hoe organisaties zich kunnen voorbereiden op quantumdreigingen

Quantumcomputing bedreigt bestaande encryptie. Ontdek hoe organisaties nu proactief hun cybersecurity kunnen versterken. Lees verder bij EY.

Murat Aktan + 1

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.