Digitale weerbaarheid in drie stappen
De tijd dat organisaties zich konden verschansen achter digitale muren is definitief voorbij. In plaats van de illusie van absolute veiligheid na te jagen, staan bestuurders voor een fundamenteel andere vraag: niet óf hun bedrijf slachtoffer wordt van een cyberaanval, maar hoe snel zij weer operationeel kunnen zijn nadat het is gebeurd. Deze verschuiving van preventie naar weerbaarheid markeert een cruciaal kantelpunt in hoe we denken over digitale veiligheid. Het traditionele beveiligingsdenken was gebaseerd op het kasteelmodel: een sterke buitenmuur met firewalls die het ‘goede’ van het ‘kwade’ moesten scheiden. Deze benadering paste bij een wereld waarin medewerkers op kantoor werkten, systemen centraal stonden en de digitale perimeter duidelijk afgebakend was.
Maar die wereld bestaat niet meer. In de huidige realiteit werken mensen hybride, draaien applicaties in de cloud en strekken netwerken zich uit over geografische grenzen. De perimeter is niet langer statisch, maar breidt zich voortdurend uit naar toeleveranciers, hun toeleveranciers en naar de locaties waar medewerkers opereren – een collega kan vandaag vanuit Zeeland werken, terwijl een andere vanuit Spanje inlogt. Deze constante expansie maakt de complexiteit van cyberbeveiliging exponentieel groter. De nieuwe werkelijkheid vraagt om een gelaagde beveiligingsaanpak die zich uitstrekt van de buitenrand tot aan de kroonjuwelen van de organisatie. Vertrouwen wordt vervangen door controle: elke toegangspoging, elke verbinding en elk apparaat moet worden geverifieerd. Dit zero trust-principe is niet alleen een technische verschuiving, maar vraagt ook om aanpassingen in governance, beleid en gedrag.
Weerbaarheid als strategisch wapen
Het goede nieuws is: organisaties die deze verschuiving omarmen, weten er strategisch voordeel uit te halen. Digitale weerbaarheid wordt steeds meer een onderscheidende factor in de markt. Klanten, burgers en partners vertrouwen hun data en processen alleen toe aan organisaties die aantoonbaar zorgvuldig en veilig opereren. Ook investeerders en toezichthouders kijken in toenemende mate naar signalen van digitale volwassenheid.
Neem het voorbeeld van regelgeving zoals NIS2. Bedrijven kunnen zich onderscheiden door te verklaren dat zij NIS2-compliant zijn. Dit betekent niet alleen dat de organisatie zelf aan de regelgeving voldoet, maar ook dat de volledige supply chain gecontroleerd is. Zelfs wanneer een bedrijf niet onder de kritieke infrastructuur valt, kan de vrijwillige beslissing om NIS2-compliant te worden een aanzienlijk concurrentievoordeel opleveren.
Een ander vitaal concept is security by design. Dit principe houdt in dat veiligheid vanaf het allereerste begin, in het ontwerpproces van producten en systemen, integraal wordt ingebouwd. Hoewel hierin geïnvesteerd moet worden, levert het uiteindelijk een strategisch voordeel op ten opzichte van concurrenten. Dit geldt niet alleen voor bedrijven die direct producten op de markt brengen, maar voor vrijwel elk modern bedrijf. Hoewel hun primaire dienstverlening elders ligt, zijn organisaties als ABN AMRO of Albert Heijn ook it-bedrijven, met DevOps-teams die security by design moeten integreren.
Van reactief naar proactief handelen
De verschuiving naar weerbaarheid betekent ook een fundamentele verandering in mindset. Waar organisaties voorheen vooral reageerden op incidenten, moeten ze nu proactief nadenken over scenario’s en hun respons daarop. Dit betekent het regelmatig doorlopen van crisissimulaties, het testen van backupsystemen en het ontwikkelen van duidelijke communicatieprotocollen.
Weerbaarheid vereist ook dat veiligheid structureel onderdeel wordt van beleidsvorming en risicomanagement. Het is geen losstaand IT-project meer, maar moet verweven zijn met de strategische koers van de organisatie. Dit vraagt om inzicht in digitale kwetsbaarheden, niet alleen binnen de eigen organisatie, maar ook in de keten en bij partners. Europese wetgeving als NIS2 en DORA verplicht organisaties al tot deze meer proactieve houding. Zij moeten aantoonbare verantwoordelijkheid tonen op het gebied van cybersecurity en kunnen laten zien dat ze grip hebben op hun risico’s en hun beveiliging integraal hebben georganiseerd. Dit is niet alleen omdat het moet, maar omdat de verwachtingen van klanten, partners en maatschappij verschuiven.
De bestuurlijke uitdaging
Voor bestuurders ligt hier een belangrijke uitdaging. Cybersecurity is niet langer een technische aangelegenheid die kan worden gedelegeerd aan de IT-afdeling. Dat zien de meeste organisaties zelf gelukkig ook in. Tegelijkertijd worstelen ze nogal eens met de vertaalslag van technische complexiteit naar bestuurlijke besluitvorming. Hoe kunnen ze hun digitale weerbaarheid vergroten?
1. Cyberbeveiliging moet worden geïntegreerd in de strategische planning, niet als een kostenpost maar als een investering in toekomstbestendigheid. Dit betekent dat security-overwegingen meewegen in alle belangrijke bedrijfsbeslissingen, van nieuwe productlanceringen tot overnames.
2. Het is essentieel om te investeren in mensen die de brug kunnen slaan tussen techniek en bedrijfsvoering. De communicatie tussen technische experts en bestuurders laat vaak te wensen over. Wanneer security-professionals praten over firewalls en poorten, wordt cyberbeveiliging vaak niet als een bestuursdiscussie beschouwd, hoewel de risico’s en zorgen diepgaand genoeg zijn om die status wel te rechtvaardigen. Dit heeft directe gevolgen voor de governance: cybersecurity wordt dan teruggedrukt naar lagere niveaus in de organisatie, waardoor bestuurders onvoldoende grip houden op strategische risico’s en de organisatie kwetsbaar wordt voor verkeerde prioriteiten en ondoordachte beslissingen.
Bestuurders moeten daarom zorgen dat er mensen in de security-functies zijn die zowel de techniek als de bedrijfskundige kant kunnen vertalen. Een chief information security officer (ciso) moet niet alleen technische kennis hebben, maar ook scherp strategisch en bedrijfskundig inzicht. Het is een tweerichtingsverkeer: de ciso moet de technische realiteit kunnen vertalen naar bestuurlijke taal, terwijl bestuurders voldoende begrip moeten hebben om de juiste vragen te stellen.
Uiteraard kunnen bestuurders ook externe adviseurs inschakelen om de organisatie te helpen navigeren door de complexiteit. Of ze kiezen voor een combinatie van zelf doen en uitbesteden: een hybride model waarbij ze een klein deel van de security-activiteiten intern houden en het grootste deel uitbesteden aan gespecialiseerde partners. Zeker gezien de snelheid waarmee de technologie evolueert, is zo’n hybride model vaak de beste oplossing. Security-teams binnen organisaties kunnen moeite hebben om bij te blijven met alle ontwikkelingen. Externe partners kunnen door hun specialisatie en schaalgrootte vaak beter inspelen op nieuwe dreigingen. Een dergelijk partnerschap kan echter alleen succesvol zijn als de risico- eigenaren binnen het bedrijf (cio, cfo en/of cro) de onderliggende risico’s begrijpen en weten welke acties ondernomen moeten worden. Het gaat niet om het volledig uitbesteden van verantwoordelijkheid, maar om een doordachte rolverdeling, waarbij de strategische sturing intern blijft en de uitvoering professioneel wordt ondersteund.
3. Er moet structureel worden geïnvesteerd in het testen en verbeteren van de weerbaarheid. Dit betekent niet alleen technische tests, maar ook oefeningen waarbij de hele organisatie leert hoe te reageren op verschillende scenario’s. Cruciaal is ook dat cybersecurity een permanent agendapunt wordt in bestuursvergaderingen. Alleen wanneer bestuurders regelmatig en structureel worden geïnformeerd over de stand van zaken, kunnen zij de juiste strategische beslissingen nemen en hun organisatie effectief beschermen tegen digitale dreigingen.
Digitaal leiderschap in actie
De toekomst behoort toe aan organisaties die nu investeren in digitale weerbaarheid. Dit vraagt om een nieuwe vorm van leiderschap die de balans vindt tussen voorzichtigheid en innovatie, tussen veiligheid en wendbaarheid. Bestuurders moeten hun organisaties niet alleen beschermen tegen bedreigingen, maar ook positioneren om te profiteren van de kansen die digitalisering biedt. Cyberbeveiliging is daarmee van een defensieve noodzaak in een strategisch differentiatiemiddel veranderd. Organisaties die hun digitale veiligheid op orde hebben, kunnen sneller innoveren, betrouwbaarder samenwerken en flexibeler inspelen op veranderende omstandigheden. Zij bouwen niet alleen aan bescherming, maar ook aan legitimiteit en continuïteit. Voor bestuurders die de verschuiving van technische complexiteit naar digitale weerbaarheid omarmen, opent zich een wereld van strategische mogelijkheden waarin digitale veiligheid niet langer een belemmering is, maar een aanjager van succes.
Essay door Nadeem de Vree, vice president networking & security van KPN. Gepubliceerd in Management Scope 07 2025.