Nandenie Moenielal - Legian: 'Wees bewust van de bestuurdersrol bij cybersecurity'

“Cyberbedreigingen blijven flink toenemen en hebben meer impact op bedrijven. Dit maakt cybersecurity een hot topic”, zegt Nandenie Moenielal, business development manager en strategisch adviseur cybersecurity van Legian. “Daarnaast neemt wet- en regelgeving voor cybersecurity een vlucht. Eerst hadden we de GDPR, nu praten we vooral over NIS2. En er komt nog een hele rits Europese wetgeving aan.”

“Klanten en leveranciers stellen ook meer eisen op het gebied van cybersecurity. Bijvoorbeeld over bepaalde ISO- of NEN-certificeringen. Als je hieraan niet voldoet, kan dit directe impact hebben op de business en klantenkring.”

“Bedrijven willen daarom weten wat zij hieraan moeten doen en welke impact deze wet- en regelgeving heeft op hun organisatie. Vooral over de verplichtingen over hun informatiebeveiliging.”

Bestuurders direct betrokken

Cybersecurity moet geen verantwoordelijkheid zijn van de IT-afdeling, maar is vooral ook de verantwoordelijkheid van bestuurders, het C-level management, geeft Moenielal aan. Niet alleen de Chief Information Officer (CIO) of Chief Information Security Officer (CISO). Iedereen in de bestuurslaag krijgt ermee te maken.

“In securityvereisten en verplichtingen wordt steeds meer de rol van bestuurders benoemd. NIS2, die naar verwachting in de loop van volgend jaar in werking treedt, spreekt van bestuurdersaansprakelijkheid en maakt dat concreet. Dit wordt verder vastgelegd in nationale wetgeving; de Cyberbeveiligingswet (Cbw) die nu in de maak is. Cybersecurity wordt zo een steeds belangrijker thema voor de bestuursagenda.”

Borgen in organisatie

Moenielal vervolgt: “We zien dat bestuurders al deze zaken niet meer kunnen overzien. Ze zijn het overzicht kwijt. De vraag die wij dan ook horen, is om dit overzicht te verkrijgen en vervolgens inzicht in wat er moet gebeuren.”

“De trigger voor deze vraag is voor iedere doelgroep, grootzakelijke bedrijven of MKB+-bedrijven, anders. Vooral MKB+-bedrijven, die niet zozeer door toezichthouders worden gedwongen, zijn nu meer intrinsiek gemotiveerd dan vroeger om security op de agenda te zetten. Het wordt gelukkig steeds minder beschouwd als iets dat moet worden afgevinkt.”

“Het belangrijkste is echter het borgen van het onderwerp cybersecurity binnen de eigen organisatie voor de langere termijn. Dit begint bij de bestuurders. Zolang zij geen invulling geven aan hun verantwoordelijkheid Maar als je wil echt dat iets langdurig beklijft, moeten we beginnen bij de ‘mindset’ van bestuurders.”

Zorgplicht

Als binnen het IT-landschap de cybersecurity niet op orde is, heeft geeft dit mogelijk gevolgen voor de bedrijfscontinuïteit. Het heeft ook altijd invloed op het klant- of consumentenvertrouwen. Niet alleen financieel, maar voor imago en reputatie.

“Binnen de Europese NIS2-richtlijn hebben bestuurders ook een zorgplicht. Hierin is een aantal maatregelen goed ingebed. Bijvoorbeeld een zorgplicht richting de (leveranciers)keten. Dat deze ook aan alle wet- en regelgeving rondom cybersecurity voldoet.”

“Daarnaast moeten bestuurders de risico’s kennen, de genomen securitymaatregelen weten en welke afwegingen daarvoor zijn genomen. Verder hebben bestuurders binnen NIS2 een opleidingsverplichting. Zij moeten een training volgen die ervoor zorgt dat bestuurders aantoonbaar risicoafwegingen kunnen maken en de belangrijkste cybersecurityrisico’s daadwerkelijk kennen”, benadrukt Moenielal.

Strategische agenda

Cybersecurity moet op de strategische agenda van bestuurders. Moenielal: “Denk aan het helder beschrijven van de rollen en verantwoordelijkheden van bestuursleden voor cybersecurity, het organiseren van periodieke besprekingen over dreigingen en risico’s en structureel investeren in het onderwerp weerbaarheid. Dit laatste is een paraplu waaronder cybersecurity valt en het gaat niet alleen om technologie. Het gaat ook om processen en de mensen.”

“Het idee dat je veilig bent zolang je in tooling investeert, bestaat al lang natuurlijk en is optimistisch, maar de vertaalslag naar mensen en processen maken, moet worden benoemd. Het is belangrijk dat er awarenesstrainingen zijn en dat die herhaald worden.”

““Bedrijven moeten hierbij niet alleen hun interne securityprocessen onder de loep nemen, maar ook kijken naar die bij hun leveranciers in verband met de ketenaansprakelijkheid. Bijvoorbeeld dat de inkoopafdeling bij nieuwe leveranciers checks uitvoeren op het gebied van cybersecurity. Dit moet een onderdeel van het inkoopproces zijn. Overkoepelend moet er een langetermijnstrategie of een digitale IT/OT-securitystrategie gekozen zijn die je bijvoorbeeld vijf jaar kunt hanteren.”

Aanpak Legian

Legian zelf biedt MKB+- en grootzakelijke bedrijven kennis en capaciteitsbehoefte voor cloud, business & IT alignment en infrastructuur vanuit een integrale visie. “Voor cybersecurity kan je hierbij denken aan diensten op het gebied van cybersecurity, governance, risicobeheer en compliance. Onder meer via detachering, bijvoorbeeld CISO-as-a-Service, maar ook security assesments tot diep onder de ‘motorkap’ waarin we de hele securitypositie van klanten in kaart brengen en daar een oordeel over gegeven. Vervolgens maken we een securitystrategie voor de langere termijn.”

“Hiermee ‘voeden’ we de bestuurders met informatie over de securitypositie van hun bedrijf. Door onder de motorkap mee te kijken, kunnen we ook de IT-afdeling en onderliggende teams helpen met implementeren van maatregelen. Voor dat laatste kunnen we ook zelf de technische specialisten leveren of werkzaamheden uitbesteden aan onze gespecialiseerde partners.”

Komende topics

Voor de (nabije) toekomst verwacht Moenielal dat op securityvlak AI voor bestuurders belangrijk wordt. Bijvoorbeeld door Europese wet- en regelgeving als de AI Act. “We krijgen steeds meer vragen over hoe medewerkers met AI moeten omgaan en niet onbewust gevoelige bedrijfsinformatie in AI tooling stoppen. Hierbij zien we ook een stukje dataclassificatie. Wat is vertrouwelijke informatie en wat mag wel en niet naar buiten.”

“Een ander belangrijk item blijft OT-security voor industriële omgevingen. Dit soort security verdient meer aandacht. OT en IT waren vaak twee verschillende werelden en fysiek gescheiden. Het monitoren van deze omgevingen en anticiperen op kwetsbaarheden is voor veel bedrijven vaak een grote stap. Gelukkig komt daar steeds meer bewustwording voor.”

Tips

Nandenie Moenielal geeft nog enkele praktische tips voor bestuurders.

• Ten eerste: Meer aandacht voor crisissituaties. “Denk na over hoe je een cybercrisis oefent. Ga bijvoorbeeld één keer per jaar met je managementteam een crisis oefenen. Bijvoorbeeld één keer per jaar een crisis te oefenen?”
• Ten tweede: Denk aan je leveranciers. “Ga het gesprek aan met je leveranciers over hoe het met de cybersecurity is geregeld. Ook met bestaande leveranciers, waar al heel lang mee gewerkt wordt. Bijvoorbeeld onder de noemer van de nieuwe wetgeving.”
• Last but, not least: Cybersecurity hoort niet alleen bij de IT-afdeling. “Bestuurders moeten het zien als een eigen verantwoordelijkheid. Cybersecurity gaat echt over de veiligheid en weerbaarheid van de gehele organisatie.”

Meer weten over Legian of heb je een security- of ander IT-vraagstuk? Kijk dan op legian.nl, bel 070 302 99 22 of stuur een e-mail naar info@legian.nl.