Skip to content

Cyberrisicomanagement in de Boardroom: Strategisch bestuur in het digitale tijdperk

 

Executive Summary (Samenvatting)

Cyberrisico’s behoren vandaag tot de meest kritische bedrijfsrisico’s en daarmee tot de topprioriteiten van goed ondernemingsbestuur. Bestuurders (CEO’s, CFO’s, CISO’s en overige leden van de board) spelen een sleutelrol in het herkennen, inschatten, beheersen en toezicht houden op cyberrisico’s binnen het strategisch risicomanagement van de organisatie. Waar cybersecurity vroeger werd gezien als een puur technisch IT-onderwerp, is het nu duidelijk dat dit een strategisch bedrijfsrisico is dat integraal deel uitmaakt van enterprise risk management. Sterker nog, cyberveiligheid en -weerbaarheid (cyber resilience) zijn uitgegroeid tot vitale governance-thema’s: organisaties die hun volledige risicoprofiel – inclusief cyberrisico’s – proactief managen presteren aantoonbaar beter in de markt​.

In deze whitepaper wordt uitgelegd hoe bestuurders cyberrisico’s effectief kunnen herkennen en inschatten, hoe zij kunnen zorgen voor passende beheersmaatregelen en actief toezicht kunnen houden op cybersecurity-initiatieven als onderdeel van strategisch risicomanagement. We bespreken hoe dit aansluit op bredere governance- en complianceverantwoordelijkheden, met verwijzingen naar relevante raamwerken zoals ISO/IEC 27001:2022 en principes van crisismanagement. Daarnaast belichten we het belang van afstemming tussen de cybersecuritystrategie en de bedrijfsdoelstellingen – zodat investeringen in beveiliging de onderneming daadwerkelijk beschermen en ondersteunen. Concrete handvatten worden geboden om bestuurders te helpen hun rol effectief te vervullen, van het stellen van de juiste vragen tot het implementeren van best practices.

Kernboodschap: Cyberrisicomanagement is een essentieel onderdeel van goed ondernemingsbestuur. Het vereist actieve betrokkenheid van de top: een duidelijke “tone at the top”, integratie van cyberrisico’s in alle lagen van besluitvorming en voorbereiding op crises. Bestuurders die nu stappen zetten om cyberbeveiliging te verankeren in governance en strategie, versterken niet alleen de weerbaarheid van hun organisatie, maar voldoen ook aan hun fiduciaire plicht en stimuleren duurzame waardecreatie​.

Herkennen en inschatten van cyberrisico’s

Een effectief cyberrisicomanagement start met het herkennen van relevante dreigingen en kwetsbaarheden, en het inschatten van de potentiële impact op de organisatie. Voor veel bestuurders is dit een uitdagend gebied – uit onderzoek blijkt dat hoewel de overgrote meerderheid van de board het belang van cybersecurity erkent, maar zeer weinigen daadwerkelijk goed inzicht hebben in de blootstelling van hun eigen bedrijf aan cyberdreigingen. Dit onderstreept de noodzaak voor bestuurders om zich te verdiepen in cyberrisico’s en ervoor te zorgen dat hun organisatie over duidelijke risico-inventarisaties beschikt.

Identificatie van cyberrisico’s: Bestuurders dienen erop toe te zien dat hun organisatie systematisch cyberrisico’s identificeert. Dit kan door periodieke risico-assessments uit te laten voeren die de belangrijkste digitale bedrijfsmiddelen en bedreigingen in kaart brengen. Denk aan het in kaart brengen van kroonjuwelen (kritieke data, systemen en processen) en mogelijke aanvalsscenario’s zoals malware-uitbraken, datalekken of verstoringen van bedrijfscontinuïteit. Het is van belang om een breed beeld te krijgen: niet alleen IT-systemen, maar ook leveranciersketens, cloud-diensten en menselijke factoren (bijv. phishing risico door medewerkers) horen hierbij. Door deze risico’s vroegtijdig te herkennen, kunnen bestuurders proactief prioriteiten stellen.

Risico-inschatting en impactanalyse: Na identificatie volgt het inschatten van de kans en impact van elk cyberrisico. Bestuurders zouden moeten vragen: Wat zijn de grootste dreigingen voor onze strategie en continuïteit? Wat zou een cyberincident financieel, operationeel en reputatiegewijs betekenen? Hierbij is het nuttig om cyberrisico’s te kwantificeren in termen van mogelijke schade (bijv. financieel verlies in miljoenen euro’s, stilstand in dagen) om ze vergelijkbaar te maken met andere bedrijfsrisico’s​. Uit wereldwijd onderzoek blijkt bijvoorbeeld dat 28% van grote ondernemingen inschat dat het ergste cyberincident een schadepost van meer dan $100 miljoen kan opleveren. Zulke analyses helpen het bestuur om cyberrisico’s serieus te wegen in de strategische besluitvorming.

Risicobeoordeling in context van bedrijfsdoelen: Het inschatten van cyberrisico’s moet altijd geplaatst worden in de context van de bedrijfsdoelstellingen en risicotolerantie van de organisatie. Bestuurders en senior management behoren samen de cyberrisico-appetite vast te stellen: welk niveau van risico is men bereid te accepteren en waar ligt de grens? Cyberrisico-appetite is het niveau van cyberrisico dat een organisatie bereid is te tolereren​. Het bepalen hiervan vereist een overzicht van wat de meest kritieke bedrijfsprocessen en assets zijn, hoe lang die onbeschikbaar mogen zijn en welke potentiële verliezen “catastrofaal” zouden zijn. Dit sluit aan bij reguliere strategische planning – een organisatie met agressieve digitale groeiplannen zal bijvoorbeeld een lage tolerantie hebben voor risico’s die klantvertrouwen schaden. Door cyberrisico’s zo te koppelen aan de strategie (bijv. nieuwe productlanceringen, overnames, digitale transformatie) krijgen bestuurders inzicht in welke risico’s onaanvaardbaar zijn en prioritaire aandacht vragen​.

Kortom, herkennen en inschatten van cyberrisico’s betekent dat de board actief betrokken is bij het in kaart brengen van dreigingen en hun mogelijke impact. Dit kan praktische vormen aannemen, zoals het laten presenteren van een jaarlijks cyberrisico-overzicht aan de raad van bestuur, inclusief heatmaps van risico’s en trends. Bestuurders kunnen gerichte vragen stellen: Zijn onze grootste cyberrisico’s in kaart gebracht? Welk financieel worstcasescenario hoort daarbij? Hebben we ons risicoprofiel afgezet tegen onze strategische doelen en wettelijke verplichtingen? Door deze dialoog te voeren, positioneert de board cyberrisico’s als volwaardig onderdeel van het strategisch risicomanagement​. Dit is precies wat governancecodes en best practices aanbevelen: benader cybersecurity als een strategisch enterprise risk, niet louter als IT-zorg.

Toezicht houden op cybersecurity en beheersmaatregelen

Naast inzicht in risico’s is het de taak van bestuurders om ervoor te zorgen dat er adequate beheersmaatregelen zijn getroffen en dat er effectief toezicht plaatsvindt op de uitvoering van cybersecurity-initiatieven. De board vervult hierbij een toezichthoudende en sturende rol: zij hoeft niet zelf de techniek te begrijpen tot in detail, maar moet wel de juiste vragen stellen en randvoorwaarden scheppen zodat de organisatie cyberrisico’s kan beheersen. In de praktijk betekent dit het instellen van governance-structuren, policies en rapportagelijnen die cybersecurity verankeren in de bedrijfsvoering.

Verantwoordelijkheden en governance-structuur: Goed ondernemingsbestuur vereist dat duidelijk is wie verantwoordelijk is voor cybersecurity. Bestuurders dienen toe te zien op een heldere governance-structuur waarin rollen en verantwoordelijkheden omtrent informatiebeveiliging zijn belegd​. Vaak zal de uitvoering bij een CISO (Chief Information Security Officer) liggen, maar de verantwoordelijkheden strekken zich uit tot het volledige managementteam en alle business units. Een aanbevolen praktijk is het instellen van een risicocomité of auditcommissie (onder de raad van bestuur) dat specifiek cyberrisico’s in portefeuille heeft. Dit comité ziet erop toe dat cyberrisico’s regelmatig op de agenda komen en fungeert als sparringpartner voor de CISO en CIO. Het bestuur moet tevens zorgen dat er voldoende expertise beschikbaar is – zo mogelijk door één of meer leden met ervaring in cyber/IT (in 2020 had 28% van de S&P500 bedrijven een cybersecurity-expert in de board. of anders via externe adviseurs en trainingen​. Kortom, de board moet zichzelf organisatorisch in staat stellen effectief toezicht te houden.

Toezicht en controlemechanismen: Hoewel de meeste bestuurders geen cyberexperts zijn, ontslaat dat hen niet van de plicht om dit significante risico te begrijpen en te monitoren. Actief toezicht houden betekent dat de board zich regelmatig laat informeren over de status van cyberbeveiliging. Dit omvat het ontvangen van periodieke rapportages met relevante KPI’s: bijv. aantal en ernst van security-incidenten, resultaten van vulnerability scans en pentests, mate van medewerkerstraining (security awareness), voortgang van verbeterprojecten, enz. Bestuurders moeten erop letten dat deze informatie in begrijpelijke termen wordt gepresenteerd, gekoppeld aan impact op bedrijfsdoelen (bijv. “zijn al onze kritieke systemen up-to-date beveiligd?”). Indien nodig kan men onafhankelijke audits of assessments laten uitvoeren voor een objectief beeld. Cruciaal is dat de board niet alleen reactief rapporteert krijgt, maar ook proactief betrokken is: door de juiste vragen te stellen en door te vragen. Enkele voorbeelden van kernvragen voor toezichthouders: Richten onze cybersecurity-inspanningen zich op de grootste risico’s, en is dat genoeg?​ Hoe beoordelen we de effectiviteit van onze beveiligingsmaatregelen? Beschikken we over voldoende budget en talent in het securityteam om nieuwe dreigingen aan te kunnen?

Bestuurders dienen ook beleid en cultuur te bewaken. Is er een up-to-date informatiebeveiligingsbeleid en wordt dit nageleefd? Hoe is de “tone at the top” – geeft het senior management het goede voorbeeld door zelf bewust om te gaan met cyberhygiëne en dit van alle medewerkers te verwachten? Een cultuur waarin beveiliging iedereen aangaat, begint bij bestuurlijke aandacht en open communicatie over cybersecurity.

Richten op compliance en regelgeving: Toezicht houden betekent tevens ervoor zorgen dat de organisatie voldoet aan relevante wet- en regelgeving en industrienormen op het gebied van cybersecurity. Regulators wereldwijd leggen steeds meer nadruk op aantoonbaar board-oversight van cyberrisico’s. Zo verplicht de Amerikaanse toezichthouder SEC bedrijven om in jaarverslagen te rapporteren over de rol van de raad van bestuur in cyberrisicomanagement, inclusief hoe vaak en via welke comité’s de board hierover wordt geïnformeerd.. In de EU stelt de NIS2-richtlijn dat het topmanagement aansprakelijk kan worden gehouden voor nalatigheid in cyberbeveiliging. Bestuurders moeten dus actief controleren of aan compliance-verplichtingen (zoals GDPR/AVG bij datalekken, of branche-eisen) wordt voldaan en of er interne controlemechanismen zijn die dit borgen. Regelmatig overleg tussen de board en functies als Risk, Compliance en IT is hierbij onmisbaar.

Effectief toezicht betekent tot slot ook vooruitdenken: “zijn we voorbereid op wat kan komen?”. Boards die cybersecurity governance serieus nemen, documenteren duidelijk hun discussies en besluiten hierover​ en evalueren periodiek of hun aanpak nog volstaat in het licht van veranderende risico’s. Door dit actieve, gestructureerde toezicht creëren bestuurders een klimaat waarin cyberrisico’s continu gemonitord en bijgestuurd worden – net zoals bij financiën of operationeel risico het geval is. Dit verkleint de kans op verrassingen en vergroot de veerkracht van de organisatie mocht er iets misgaan​.

Afstemming van cybersecuritystrategie op bedrijfsdoelstellingen

Cybersecurity mag nooit in isolatie staan van de bedrijfsstrategie. Een veelgemaakte fout is om beveiliging te benaderen als een puur technische exercitie los van de kernactiviteiten. Bestuurders moeten er juist op toezien dat de cybersecuritystrategie nauw aansluit op de bedrijfsdoelstellingen en de waardecreatie van de organisatie ondersteunt. Cyberrisicomanagement moet zo worden ingericht dat het niet slechts een “noodzakelijke kostenpost” is, maar een enabler die veilige groei en innovatie mogelijk maak.

Cybersecurity als strategische enabler: Een belangrijk inzicht voor bestuurders is dat goede cybersecurity bedrijfswaarde toevoegt. Sterke beveiliging beschermt niet alleen tegen verlies, maar kan ook het vertrouwen van klanten, partners en investeerders vergroten – een concurrentievoordeel. Daarom wordt cybersecurity wel gezien als een strategische business enabler in plaats van alleen een IT-issue​. Bestuurders kunnen dit bevorderen door ervoor te zorgen dat bij alle strategische beslissingen de cyberrisico-implicaties worden meegewogen. Bijvoorbeeld: een besluit om grootschalig naar de cloud te gaan of om een nieuw digitaal product te lanceren moet gepaard gaan met vragen als “Hoe borgen we de beveiliging hiervan? Hebben we de CISO vroegtijdig aan tafel voor input? Door de CISO of IT-risk manager te betrekken bij strategische overleggen, ontstaat er alignment tussen business en security. EY constateerde dat veel organisaties tijdens de pandemie in hoog tempo digitaliseerden zonder cybersecurity te betrekken, wat tot nieuwe kwetsbaarheden leidde. Die les toont aan dat security vanaf de start onderdeel moet zijn van transformatie-initiatieven.

Koppelen van cybersecuritydoelen aan bedrijfsdoelen: Bestuurders zouden moeten verlangen dat iedere cybersecurity-initiatie of investering duidelijk verband houdt met bedrijfsdoelstellingen. Dit betekent concreet: prioriteit geven aan het beschermen van de “crown jewels” van de organisatie – die kritieke processen en gegevens die het meest van waarde zijn voor de strategie. Zo zal een bank bijvoorbeeld focus leggen op bescherming van klantgegevens en transactiesystemen (in lijn met het doel betrouwbaarheid), terwijl een high-tech producent zich richt op bescherming van intellectueel eigendom (voor innovatievoorsprong). Door securitymaatregelen risk-based te prioriteren, wordt beveiligingsbudget ingezet waar het de grootste bedrijfswaarde beschermt. Op boardniveau kan men dit sturen door te eisen dat investeringsvoorstellen in cybersecurity altijd de link leggen naar bedrijfsrisico’s en -kansen: Welke strategische risico’s mitigeren we hiermee? Hoe draagt dit bij aan continuïteit, compliance of klantvertrouwen?

Bovendien is het verstandig om de cybersecuritystrategie te integreren met de bedrijfsstrategieplanning. Bijvoorbeeld door in het strategisch meerjarenplan op te nemen hoe cybersecurity meegroeit met nieuwe businessmodellen, digitalisering of marktuitbreiding. Een bedrijfsstrategie die inzet op digitaal klantcontact moet vergezeld gaan van een cybersecurity-roadmap om die digitale diensten veilig te houden. Bestuurders kunnen sturen op deze alignment door regelmatig te toetsen of de huidige securitystrategie nog aansluit bij de ondernemingsvisie. Uit onderzoek blijkt dat meer dan de helft van de organisaties weinig vertrouwen heeft dat hun cyberbudgetten goed zijn afgestemd op de voor hen meest significante risico’s​. Dit duidt op misalignment: mogelijk wordt er te veel besteed aan lage prioriteit risico’s en te weinig aan wat echt belangrijk is. De board kan hier ingrijpen door te vragen om risk-to-budget mapping: is ons security-budget proportioneel verdeeld naar de grootste risico’s? EY adviseert zelfs om als board een flexibele, risico-gedreven begrotingsaanpak te stimuleren die meebeweegt met de veranderende dreigingspositie​.

Meten van succes en terugkoppeling: Om te zorgen dat cybersecurity bijdraagt aan bedrijfsdoelen, moeten er meetbare criteria zijn. Bestuurders kunnen verlangen dat er KPI’s en KRI’s (Key Risk Indicators) worden ingericht die zowel de veiligheid als de bedrijfsimpact tonen. Bijvoorbeeld: uptime van kritieke systemen (doel: bedrijfscontinuïteit), aantal incidenten met klantimpact (doel: klantvertrouwen), tijd om kwetsbaarheden te patchen (doel: operationele uitmuntendheid), etc. Deze indicatoren koppelen cybersecurityprestatie aan zaken die de board begrijpt – zoals financiële impact, reputatiescores of nalevingseisen. Zo blijft de discussie gefocust op hoe cybersecurity de onderneming beschermt en vooruithelpt, in plaats van te verzanden in technische details.

Samengevat moeten bestuurders actief de brug slaan tussen cybersecurity en de bedrijfsstrategie. Dit betekent zorgen voor wederzijds begrip: de securityfunctie begrijpt de businessprioriteiten, en de businessleiders begrijpen de noodzaak van securitymaatregelen. Een praktisch handvat is het formuleren van een duidelijke cybersecurityvisie die expliciet linked is aan de missie en doelen van de organisatie (bijv. “Wij beveiligen onze digitale diensten om klantvertrouwen te waarborgen en innovatief te kunnen zijn zonder onderbreking”). Daarmee wordt cybersecurity een integraal onderdeel van de waardepropositie, gesteund door de top. Deze afstemming vergroot de effectiviteit van beide: de organisatie bereikt haar doelen veilig, en investeringen in cybersecurity renderen optimaal doordat ze gericht zijn op wat voor het bedrijf het belangrijkst is​.

Crisismanagement bij cyberincidenten

Ondanks alle preventieve maatregelen blijft het feit bestaan dat cyberincidenten kunnen optreden – “het is niet de vraag óf, maar wanneer” een organisatie ermee te maken krijgt​. Goed bestuur impliceert daarom ook voorbereiding op en adequaat optreden tijdens cybercrisissituaties. Bestuurders moeten begrijpen hoe cybercrisismanagement werkt en welke principes daarbij horen, zodat zij in hun toezichtrol kunnen verzekeren dat de organisatie veerkrachtig is en een incident kan doorstaan met minimale schade.

Voorbereiding en planning: Een cruciale eerste stap is het hebben van een degelijk incident response plan en crisiscommunicatieplan. De board moet erop toezien dat er een up-to-date draaiboek klaarligt voor cyberincidenten, waarin duidelijke procedures en verantwoordelijkheden staan. Dit plan moet antwoorden op vragen als: Hoe detecteren we een ernstig incident? Wie zit in het crisisteam? Wie heeft beslissingsbevoegdheid om bijv. systemen tijdelijk stil te leggen? Hoe en wanneer informeren we klanten, toezichthouders en de media? Het plan dient ook technische stappen te omvatten (isoleren van getroffen systemen, backups activeren) én communicatiestappen (interne briefing, persverklaring, meldplicht naleven). Bestuurders spelen hier een rol door te eisen dat zo’n plan bestaat én getest wordt. Best practice is het organiseren van table-top oefeningen (simulaties) voor cybercrisissituaties, waarbij ook leden van het bestuur betrokken worden​.Dergelijke oefeningen onthullen gaten in de respons en vergroten de paraatheid. Een voorbereid bestuur en management kunnen zo nodig razendsnel schakelen, wat bewezen de schade en herstelkosten aanzienlijk kan beperken.

Respons en leiderschap tijdens een crisis: Wanneer zich een serieus cyberincident voordoet (bijvoorbeeld een omvangrijke ransomware-aanval of datalek), is het van essentieel belang dat de board haar rol pakt in crisismanagement. In de acute fase ligt de operationele respons bij het crisis/incidentteam, maar van de board wordt strategisch leiderschap en ondersteuning verwacht​. Dit houdt in dat bestuurders zorgen voor rust, overzicht en besluitvaardigheid aan de top. Enkele principes van crisismanagement die bestuurders in acht moeten nemen:

  • Snelheid van handelen: Tijd is cruciaal bij cyberaanvallen. Het bestuur moet management steunen in snelle besluitvorming (bijv. het afsluiten van delen van het netwerk om verdere schade te voorkomen) en indien nodig extra middelen vrijmaken. Vertraging of besluiteloosheid kan de impact verergeren.

  • Heldere communicatie: De board moet toezien op transparante en tijdige communicatie met alle stakeholders. Dit omvat interne communicatie naar medewerkers (om paniek te voorkomen en instructies te geven) en externe communicatie naar klanten, partners, toezichthouders en mogelijk het brede publiek/pers. Het bestuur (of de voorzitter) zal vaak samen met het crisisteam bepalen wat en wanneer gecommuniceerd wordt. Eerlijkheid en verantwoordelijkheid nemen staan hierbij centraal om vertrouwen te behouden. Volgens MIT Sloan is een sterk crisiscommunicatieplan een vaak over het hoofd gezien maar cruciaal onderdeel van cyberresilience

  • Continuïteit waarborgen: Een kernprincipe in crisismanagement is het veiligstellen van de essentiële bedrijfsfuncties. De board moet het management ondersteunen en zo nodig opdracht geven om disaster recovery- en business continuityplannen in werking te stellen. Denk aan het activeren van backups, overstappen op alternatieve processen en indien nodig het inschakelen van externe specialisten. ISO/IEC 27001:2022 introduceerde expliciet een control voor “ICT readiness for business continuity” – voorbereiding op continuïteit bij ICT-uitval – wat het belang onderstreept van vooraf geregeld hebben hoe de business doordraait tijdens een cybercrisis.

  • Besluitvorming over lastige dilemma’s: Sommige cybercrisissituaties leggen complexe besluiten bij de bestuurstafel. Bijvoorbeeld: betaalt men losgeld aan hackers bij ransomware of niet? Wanneer wordt er aangifte gedaan of wanneer trek je de stekker uit getroffen systemen? Het bestuur moet hier richting geven, vaak op basis van vooraf besproken scenario’s en de organisatiebrede risico-appetite. Juridische implicaties (aansprakelijkheid, boetes, contractuele gevolgen) moeten worden meegewogen – reden waarom Legal ook deel moet uitmaken van het crisisteam.

Herstel en leren van incidenten: Nadat de acute crisis is bezworen, begint de fase van herstel en evaluatie. De board’s verantwoordelijkheid strekt zich ook hiertoe uit. Ten eerste moet worden toegezien op grondig herstel: zijn alle systemen veilig hersteld, zijn eventuele achterdeurtjes verwijderd, en is de normale operatie hervat? Bestuurders dienen te verifiëren dat de oorzaak van het incident is weggenomen, zodat herhaling wordt voorkomen. Ten tweede is evaluatie cruciaal: elke crisis moet worden gebruikt als leermoment. De board kan een post-mortem review verlangen waarin onafhankelijk wordt onderzocht wat er fout ging, hoe effectief het responsplan was en welke verbeteringen nodig zijn. Hieruit volgen vaak aanbevelingen, bijvoorbeeld extra trainingen, nieuwe controles of investering in betere detectietools. Een proactieve board zorgt dat deze aanbevelingen daadwerkelijk worden opgevolgd door het management – dit is waar toezicht na de crisis weer om de hoek komt kijken.

Uit statistieken en praktijkvoorbeelden weten we dat een organisatie met getraind crisismanagement aanzienlijk veerkrachtiger is. Bedrijven die regelmatig hun plannen toetsen (bijv. via gesimuleerde cyberaanvallen) en stakeholdersrelaties onderhouden (zoals overleg met overheidsinstanties, branchegenoten) staan sterker op het moment van waarheid​. Bestuurders kunnen dit stimuleren door het onderwerp cybercrisismanagement hoog op de agenda te zetten nog vóór er ooit een incident plaatsvindt. Het credo is: prepare for the worst, hope for the best. Door goede voorbereiding zal een cybercrisis niet uitmonden in wanorde, maar in een beheersbare situatie – daarmee beschermen bestuurders niet alleen de onderneming, maar tonen ze ook aan aandeelhouders en toezichthouders hun verantwoordelijkheid serieus te nemen.

ISO/IEC 27001:2022 als leidraad voor cyberrisicomanagement

In de jungle van cybersecurity frameworks en standaarden is ISO/IEC 27001 een van de meest erkende en uitgebreide raamwerken om informatiebeveiliging te beheersen. Voor bestuurders is ISO 27001 (met de update van 2022) een waardevol instrument en leidraad om cyberrisicomanagement gestructureerd in te bedden in de organisatie en aan te sluiten op governanceverplichtingen. Het adoptieren van ISO 27001 helpt immers om alle facetten die in deze whitepaper zijn besproken – van risicobeoordeling tot crisismanagement – samen te brengen in één managementsysteem met continue verbeterlus.

Risicogebaseerde aanpak en beleidskaders: ISO/IEC 27001 is gebouwd op een ISMS (Information Security Management System)-raamwerk, dat organisaties dwingt om hun informatiebeveiligingsrisico’s systematisch te identificeren, evalueren en behandelen. Deze standaard vereist expliciet dat topmanagement betrokken is bij dit proces en leiderschap toont​. In Clause 5 (“Leadership”) van ISO 27001:2022 staat bijvoorbeeld dat topmanagement verantwoordelijk is voor het vaststellen van het informatiebeveiligingsbeleid, het toewijzen van rollen en het zorgen voor de benodigde resources. Dit betekent dat bestuurders – of op zijn minst het senior executives team – actief moeten instemmen met de beveiligingsstrategie en doelen. Voor de board is dit een kapstok om hun toezichtsrol vorm te geven: ISO 27001 eist dat beveiligingsdoelstellingen verenigbaar zijn met bedrijfsdoelstellingen en dat voortgang meetbaar wordt gemaakt, wat de board periodiek moet laten reviewen (Clause 9.3 Management Review)​. Hiermee sluit ISO 27001 nauw aan op principes van goed bestuur: het verankert beveiliging in de PDCA-cyclus (Plan-Do-Check-Act) op organisatieniveau.

Integratie met strategisch risicomanagement: De vernieuwde ISO/IEC 27001:2022 editie legt nog meer nadruk op governance en aansluiting bij strategisch management dan voorheen. In de 2022-update is expliciet gesteld dat informatiebeveiligingsrisico-management geïntegreerd moet worden met de algemene strategische managementprocessen van de organisatie​. Met andere woorden, beveiliging mag geen losstaand silo-proces zijn; het moet in de kernbedrijfsprocessen ingebed worden. Dit sluit perfect aan bij de eerdere besproken noodzaak tot alignment. ISO 27001:2022 spoort organisaties aan om hun governance-structuur en risicomanagement raamwerken te herevalueren en zo nodig aan te passen zodat informatiebeveiliging een plek krijgt aan de bestuurstafel​. Bestuurders kunnen ISO 27001 dus gebruiken als leidraad om te checken of alle benodigde onderdelen van cyberrisicomanagement aanwezig zijn en effectief functioneren. Denk aan beleid, risicoanalyses, controles, audits, bewustwordingstrainingen – de standaard geeft hiervoor een best practice structuur.

Controlemaatregelen en nieuwe aandachtspunten: In Annex A van ISO 27001:2022 staat een set van 93 controlemaatregelen (controls) die organisaties kunnen implementeren om risico’s te mitigeren​. Deze controls bestrijken een breed spectrum: van technische maatregelen (zoals toegangsbeheer, encryptie, logging) tot organisatorische (bewustwording, leveranciersbeheer) en fysieke beveiliging. Voor bestuurders is het niet nodig elk van deze maatregelen inhoudelijk te kennen, maar wel om te begrijpen dat naleving van ISO 27001 betekent dat de organisatie een volledige dekking van beveiligingsgebieden heeft. Interessant om te vermelden is dat de 2022 versie 11 nieuwe controls introduceert gericht op moderne uitdagingen zoals cloudbeveiliging, bedreigingsinformatie en ICT-voorzieningen voor bedrijfscontinuïteit​. Dit toont dat ISO 27001 up-to-date blijft met actuele cyberdreigingen en -ontwikkelingen. Een bestuurder kan er vertrouwen uit putten dat een ISO-gecertificeerde organisatie aandacht besteedt aan bijvoorbeeld cloudrisico’s en ransomware (via “Threat intelligence” en “ICT readiness for business continuity” als nieuwe beheersmaatregelen) zonder zelf het wiel te hoeven uitvinden. Het raamwerk fungeert zo als een checklist van best practices.

Continu verbeteringsproces en certificatie: Een kenmerk van ISO 27001 dat belangrijk is voor governance, is het vereiste van continu verbeteren. Jaarlijkse interne audits en periodieke externe audits (voor certificering) zorgen dat de organisatie steeds toetsing krijgt op haar informatiebeveiligingspraktijk. Dit sluit aan bij de governance gedachte dat cyberrisicomanagement geen eenmalig project is maar een voortdurend proces dat meebeweegt met veranderingen in de organisatie en dreigingslandschap. Bestuurders kunnen periodieke auditrapporten gebruiken als objectieve graadmeter voor de effectiviteit van het beveiligingsprogramma. Bovendien kan een ISO 27001-certificaat richting stakeholders (klanten, partners, toezichthouders) aantonen dat de organisatie serieus werk maakt van informatiebeveiliging volgens een internationaal erkende norm – wat vertrouwen en compliance ten goede komt.

Gebruik ISO 27001 als leidraad: Bestuurders hoeven ISO 27001 zeker niet woord-voor-woord te kennen, maar kunnen het benutten als leidraad door kritische elementen eruit te destilleren als vragen aan het management: Hebben wij een formeel ISMS met topmanagement betrokkenheid? Voeren we regelmatige risicobeoordelingen en management reviews uit? Zijn onze securitydoelen afgestemd op bedrijfsdoelen? Volgen we een bekende standaard voor controles en laten we die toetsen? Zo ja, dan is men waarschijnlijk “in control” volgens de norm. Zo nee, dan biedt ISO 27001 houvast om de ontbrekende schakels in te vullen. In essentie ondersteunt ISO 27001:2022 de bestuurders bij het invullen van hun verantwoordelijkheid: het zorgt voor een gestructureerde aanpak van cyberrisico’s die accountability op alle niveaus vereist – inclusief de board. Het is niet zonder reden dat de 2022-update extra nadruk legt op governance van security risico’s. informatiebeveiliging is een bestuurszaak.

Conclusie en kerninzichten voor bestuurders

Cyberrisico’s vormen een blijvende uitdaging voor organisaties, maar ook een beheersbaar risico mits bestuur en topmanagement ze behandelen als integraal onderdeel van goed ondernemingsbestuur. Deze whitepaper heeft uiteengezet hoe bestuurders cyberrisico’s kunnen herkennen, evalueren, beheersen en monitoren binnen het bredere kader van governance, risicomanagement en compliance. Ter afsluiting volgen de kerninzichten en aanbevelingen voor boardmembers om direct in de praktijk te brengen:

  • Maak cyberrisico-governance een topprioriteit: Behandel cybersecurity net als financieel en strategisch risico. Zorg dat de board duidelijk verantwoordelijkheid toewijst (bijv. aan een commissie) en dat het onderwerp regelmatig op de agenda staat. Bestuurders moeten het signaal afgeven dat cyberrisico’s serieus genomen worden in de hele organisatie (“tone at the top”).

  • Begrijp je risicoprofiel en stel je risicobereidheid vast: Investeer als bestuur in goed inzicht in de belangrijkste cyberdreigingen voor de bedrijfsstrategie. Laat uitgebreide risico-assessments maken en definieer samen met management de cyber risk appetite – welke potentiële verliezen zijn nog aanvaardbaar en welke niet​. Dit geeft richting aan alle verdere beslissingen.

  • Stuur op alignment tussen cybersecurity en bedrijfsdoelen: Eis van elke cybersecurity-investering of maatregel dat duidelijk is hoe deze een bedrijfsdoel ondersteunt of een concreet risico mitigereert. Zorg dat de CISO betrokken is bij strategische plannen en omgekeerd dat business leiders verantwoordelijk zijn voor cyberrisico’s in hun domein. Dit voorkomt een kloof tussen IT en business en leidt tot efficiëntere besteding van middelen​.

  • Houd actieve toezicht en stel de juiste vragen: Ook zonder technische expertise kunnen bestuurders effectieve vragen stellen. Enkele voorbeelden: Hoe meet het management de effectiviteit van onze cybersecurity? Krijgen we onafhankelijke toetsen (audits/pen-tests) en wat zijn de resultaten? Zijn we compliant met relevante normen en wetten? Heeft ons team voldoende capaciteit en kennis om nieuwe dreigingen aan te kunnen? Creëer daarnaast kanalen voor direct toegang tot expertise, bv. via een extern adviseur of opleiding voor de board​.

  • Bereid je voor op crises – “when, not if”: Verzeker als bestuur dat er een gedetailleerd cyberincident/crisisplan klaarligt en dat dit regelmatig geoefend wordt (simulaties)​. Ken je rol in dat plan: wees klaar om snel beslissingen te nemen en communiceer daadkrachtig tijdens een incident. Achteraf: evalueer, leer en stuur bij. Een goed voorbereide board verkleint de kans op ontwrichtende gevolgen en juridisch verwijt bij een cyberincident​.

  • Gebruik erkende kaders zoals ISO 27001:2022 als kompas: Laat je leiden door best practices. Als de organisatie (of toeleveranciers) ISO 27001 gecertificeerd is, geeft dat vertrouwen dat een systematische aanpak gevolgd wordt. Zo niet, overweeg deze standaard als roadmap te gebruiken om gaten te dichten en aantoonbaar te maken dat alle aspecten – van beleid tot continue verbetering – geborgd zijn​. Dit helpt ook om verantwoording af te leggen aan stakeholders over de state of security.

Ten slotte: in een tijdperk van digitale transformatie is cyberrisicomanagement geen luxe maar een noodzakelijke pijler van duurzaam ondernemingsbestuur. Bestuurders die proactief de leiding nemen in cyberveiligheid zullen niet alleen bedreigingen beter het hoofd bieden, maar bouwen ook aan een organisatie die vertrouwen geniet bij klanten en samenleving. Het resultaat is tweeledig: minder kans op kostbare incidenten én een concurrentieel voordeel doordat men veilig kan innoveren. Het is deze synergie tussen goede governance en effectieve cybersecurity die moderne, succesvolle bedrijven kenmerkt. De oproep aan iedere board is daarom: omarm cybersecurity als integraal onderdeel van uw governance takenpakket, en stimuleer uw organisatie om veerkrachtig en weerbaar de digitale toekomst tegemoet te treden.

Bronnen

KPMG – Cybersecurity Considerations 2025
https://www.kpmg.com/cyberconsiderations

Cisco – Cisco Secure and the NIST Cybersecurity Framework
https://www.nist.gov/cyberframework

ISO/IEC 27001:2022 (norm zelf, indien niet publiek beschikbaar via officiële norminstantie)
https://www.iso.org/standard/27001 (alleen beschikbaar via aankoop of abonnement)

World Economic Forum – Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards (2025)
https://reports.weforum.org/docs/WEF_Artificial_Intelligence_and_Cybersecurity_Balancing_Risks_and_Rewards_2025.pdf

Baker McKenzie – Global Disputes Forecast 2025
(Geen directe publieke link beschikbaar, mogelijk enkel via klantportal of bij aanvraag bij Baker McKenzie)

McKinsey – A New Future of Work: The Race to Deploy AI and Raise Skills in Europe and Beyond (2024)
https://www.mckinsey.com/mgi

NIS2 Directive (EU) 2022/2555
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555

Paris Peace Forum – Forging Global Cooperation on AI Risks: Cyber Policy as Governance Blueprint (2025)
https://parispeaceforum.org (Rapport beschikbaar via het forum of op aanvraag)

Cyber Resilience Act (voorsteltekst)
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0454

Cyber Insights 2025 – Diverse publicaties (Best Cyber Insights, Ransomware, Supply Chain etc.)
(Gepubliceerd via diverse platforms, verzameld in "Best Cyber Insights in 2025")

Wilt u meer weten over juridische implicaties van cyberdreiging en hoe u als organisatie voorbereid kunt zijn op het digitale slagveld? Neem contact met ons op of volg onze juridische inzichten op deze blog.
Peter Beentjes

Peter Beentjes / About Author

Als auteur op de Research & Insights-pagina van Cybercompany deel ik strategische perspectieven op cybersecurity als business en mensgerichte discipline. Mijn focus ligt op hoe organisaties security kunnen inzetten om hun bedrijfsdoelen te versterken, risico’s beheersbaar te maken en tastbare security outcomes te realiseren.

Follow me on my website Follow me on LinkedIn

You may also Like