Commissarissen

‘Cyber is geen IT-feestje, maar ook een onderwerp voor commissarissen’

Door:
Rudina de Lange
Cyber is geen IT feestje
In de serie ‘Door het oog van de commissaris’ lichten we thema’s uit waar toezichthouders mee te maken hebben. In deel 1: het thema cyber. We gaan in gesprek met commissaris Rudina de Lange en Migiel de Wit-Beets, partner cyber risk bij Grant Thornton.
Onderwerpen

Rudina de Lange studeerde technische bedrijfskunde en filosofie. Daarna werkte ze jarenlang als strategisch adviseur bij Deloitte Consulting Global en als senior external advisor bij McKinsey & Company in Duitsland. Inmiddels is ze lid van de raad van commissarissen en de raad van advies van vier organisaties in Nederland. ‘Een mooie combinatie van familiebedrijven en multinationals’, zegt Rudina. ‘En allemaal bedrijven uit de maakindustrie, wat ik een prachtige en ook cruciale sector vind.’ 

Grote verschillen tussen organisaties

Bij alle bedrijven heeft Rudina cyber(security) in haar portefeuille. ‘Dat onderwerp was vaak nog niet belegd toen ik ergens aan boord kwam’, vertelt ze. ‘Gelukkig is dat de afgelopen jaren flink veranderd. Cyber staat veel hoger op de agenda bij de bedrijven waar ik als commissaris werk.’ De extra aandacht voor cyberweerbaarheid heeft onder meer te maken met de NIS2-wetgeving, denkt Rudina. Met NIS2 wil de EU de cyberweerbaarheid verhogen van organisaties die cruciaal zijn voor het functioneren van onze samenleving. ‘Naast de verplichting van deze wetgeving merk ik ook steeds meer wíl om hieraan te voldoen’, zegt Rudina. ‘Niet alleen omdat bestuurders hoofdelijk aansprakelijk kunnen worden gesteld, maar ook om de eigen bedrijfsprocessen te beschermen.’

testimonial client avatar
'Naast de verplichting van deze wetgeving merk ik ook steeds meer wíl om hieraan te voldoen. Niet alleen omdat bestuurders hoofdelijk aansprakelijk kunnen worden gesteld, maar ook om de eigen bedrijfsprocessen te beschermen.'
Rudina de Lange Toezichthouder

‘Het kan ons ook gebeuren’ 

Ook Migiel de Wit-Beets ziet dat er bij bedrijven meer aandacht komt voor cyber. Migiel heeft bijna 25 jaar ervaring als adviseur, consultant en directeur en is binnen Grant Thornton verantwoordelijk voor het team dat zich bezighoudt met cyber risk. ‘Uit het meest recente commissarissen benchmarkonderzoek van Board in Balance blijkt dat cyber veel hoger op de agenda staat dan vijf jaar geleden’, vertelt hij. ‘Dat is positief, al vind ik dat het nog te langzaam gaat. Vroeger dachten organisaties: wij zijn niet interessant voor cybercriminelen. Er ontstaat nu een shift naar: het kan ons ook gebeuren. Waarbij de volgende stap is om echt actie te ondernemen op dit onderwerp.’ 

Geen IT-feestje, maar een bedrijfsrisico

Ook wordt binnen organisaties steeds duidelijker dat cyber als bedrijfsrisico moet worden gezien. Migiel: ‘Voorheen wilden organisaties vooral compliant zijn, aan de regels voldoen. Wie compliant is, is niet altijd weerbaar. Maar wie weerbaar is, is meestal ook compliant. Wij roepen al jaren: cyber is geen IT-feestje, het is een bedrijfsrisico in de categorie geopolitiek en natuurrampen. Als je er op die manier naar kijkt, wordt dit onderwerp makkelijker bespreekbaar op een bestuurstafel. Dát is de plek waar dit besproken moet worden. De recente grote datalekken bij diverse grote Nederlandse organisaties bewijzen dat.’

testimonial client avatar
'Organisaties moeten zelf aan de bak. Niet alleen om hun eigen organisatie weerbaarder te maken, maar ook de keten. En daarmee de bv Nederland en Europa. Dat is belangrijk, zeker in deze tijd van geopolitieke spanningen.'
Migiel de Wit-Beets Partner cyber risk

Wakker liggen van externe of interne zaken?

Over geopolitieke spanningen gesproken: dat is waar Rudina het meest wakker van ligt. Anders dan de meeste commissarissen uit het benchmarkonderzoek, die aangeven meer wakker te liggen van interne zaken. Rudina: ‘Op interne zaken heb je invloed. Als commissaris kun je veel doen om het daar risico’s te beperken. Van het monitoren van processen tot mensen op de juiste plek zetten. Maar je weet niet wat bepaalde wereldleiders gaan doen. Daardoor is onzekerheid enorm toegenomen voor bedrijven. In plaats van “ransom” aanvallen kan het zomaar gaan om “verstoren” of zelfs compleet “wissen” van cruciale bedrijfssoftware. Scenario denken en risicomanagement wordt daardoor nog belangrijker; dat moet je nog breder aanvliegen. Daar ligt een belangrijke taak voor commissarissen.’

De rol van commissarissen 

Daar is Migiel het mee eens. ‘Commissarissen die cyber in hun portefeuille hebben, moeten in grote lijnen op de hoogte zijn van wat er speelt. Daarbij moeten ze de juiste vragen stellen aan het bestuur, zodat iedereen doordrongen is van het belang van cyberweerbaarheid en de rol die het speelt – als bedrijfsrisico dus. Je hoeft als commissaris niet alles te weten, maar je moet er wel voor zorgen dat je geïnformeerd wordt. Dus zorg ervoor dat het periodiek wordt besproken. Stel een CISO aan als die er nog niet is. En zet partijen aan het werk die kennis en kunde hebben op dit vlak.’

Je wordt hoe dan ook een keer aangevallen

Een goed uitgangspunt: ga ervan uit dat je hoe dan ook wordt aangevallen. Rudina: ‘Hoe goed je je ook voorbereidt, je kunt een aanval niet voorkomen. Het gaat dus niet alleen om protect, maar ook om respond & recover. Ook dáárvoor moet je een plan hebben. En als commissaris moet je daarvan op de hoogte zijn. Je moet weten als bedrijf wat je moet doen, zodat je snel kunt schakelen als het nodig is.’ 

Goed voorbereid op noodscenario’s? 

Bedrijven – en daarmee hun commissarissen – moeten daarom voorbereid zijn op noodscenario’s. Uit hetzelfde commissarissen benchmarkonderzoek blijkt dat risicomanagement meer moet zijn dan een administratieve exercitie. Ook weten commissarissen vaak niet of er überhaupt draaiboeken zijn voor bepaalde risico’s. En dat terwijl de kans op incidenten bij een groot aantal van de onderzochte risico’s de laatste jaren sterk is toegenomen. Duidelijk is dat er scenario’s moeten liggen voor bekende calamiteiten als brand en overtreding van de privacywetgeving – maar ook voor ‘nieuwe’ risico’s, zoals cybercrime, stroomtekort, wateroverlast, watertekort en het wegvallen van het internet. Deze risico’s moeten beter in kaart worden gebracht.

Crisisgames met commissarissen 

Grant Thornton helpt bedrijven daarbij. Bijvoorbeeld met CyberHunter: een zelfontwikkelde modulaire cybersecurity-oplossing, gericht op het verhogen van cyberweerbaarheid, inzicht in kwetsbaarheden en compliance-ondersteuning voor organisaties. Maar het begint bij bewustwording. Migiel: ‘Een mooi middel om de bewustwording te vergroten, is de crisisgame. Bijvoorbeeld met bestuursleden en commissarissen oefenen we dan een scenario waarin een bedrijf gehackt wordt. Daarbij moeten ze onder tijdsdruk belangrijke beslissingen nemen. Dat maakt heel snel inzichtelijk hoe goed bedrijven zijn voorbereid en wat de tekortkomingen zijn. Dat zijn hele toffe sessies de deelnemende commissarissen. Het triggert hen echt om in actie te komen.’

Kleine stapjes zorgen voor beste resultaten

Na de bewustwording kunnen stappen worden gemaakt om echt cyberweerbaar te worden. Migiel: ‘We zien in de markt dat de beste resultaten worden behaald wanneer bedrijven beginnen met kleine stapjes. Dat begint met inzicht creëren. Ons team van analisten ziet bij klanten van alles gebeuren op cybergebied. Daardoor kunnen we a) ingrijpen voordat er iets ergs gebeurt en b) maatregelen inrichten ter voorkoming van herhaling. Daarna kun je KPI’s opstellen, je ambitie uitspreken en echt veranderen – dat is de volgorde. Waarbij je wel continu moet blijven monitoren wat er op cybergebied gebeurt in en rond je organisatie en steeds meer ook in de gehele waardeketen.’ 

Van de top naar de werkvloer

Dat begint vooral in de top, stelt Migiel. ‘Als bestuurders zich niet bewust zijn van cyberrisico’s kan de rest van de organisatie niet veranderen. Dat moeten commissarissen zich realiseren. Stel kritische vragen aan de bestuurders: welke maatregelen heeft de organisatie genomen in het kader van cyberweerbaarheid, welke KPI’s hangen hieraan en hoe wordt daarop gestuurd? Hoe staat het met de noodscenario’s? En ga eens een uurtje sparren met specialisten uit het vakgebied. De rol van commissarissen op dit gebied wordt steeds belangrijker. De regelgeving wordt strenger. En klanten kunnen eisen aan je gaan stellen. Ik heb klanten die door hun grootste afnemer in de keten worden verplicht om aan bepaalde certificeringen te voldoen, omdat anders de samenwerking stopt. Dat is een goede zaak. Maar daar moet een organisatie zich wel bewust van zijn én klaar voor zijn. Commissarissen moeten dat dus goed in de smiezen hebben en hun verantwoordelijkheid nemen.’

Volg bijeenkomsten en kijk naar jezelf

Rudina sluit af met een tip aan collega-commissarissen: agendeer cyberweerbaarheid binnen de organisatie en zorg dat je zelf goed op de hoogte bent. ‘Er worden veel bijeenkomsten over dit thema georganiseerd, onder andere door Grant Thornton. Ga erheen, doe mee aan onderzoeken, lees rapporten. Daarnaast moet je ook naar jezelf kijken. Hoe deel je informatie als raad van commissarissen onderling? Je wilt niet weten hoeveel gevoelige informatie er nog via WhatsApp of e-mail wordt gedeeld, of hoeveel mensen gebruik maken van openbare WiFi-netwerken… zonder dat je er zelf bij stilstaat, kun je een mogelijke lek veroorzaken. Commissaris is tegenwoordig geen erebaantje meer, het is echt een vak geworden. Een vak waar opleidingen voor bestaan. In mijn ogen zou er meer permanente educatie mogen komen, óók op het vlak van cybersecurity.’

Bijeenkomsten Grant Thornton Commissarissenonderzoek

Grant Thornton is al jaren betrokken bij de onderzoeken van Board in Balance. Voor het stimuleren van good governance is dit onderzoek buitengewoon waardevol. Rondom de onderzoeksresultaten en actuele onderwerpen organiseren wij regelmatig bijeenkomsten. Zo is er in de loop der jaren een interessant netwerk ontstaan. De bijeenkomsten hebben een informeel en besloten karakter. We nodigen je harte uit om aan te sluiten. Wil je op de genodigdenlijst?

Meld je aan