De terugkeer van on-premise IT: heroverweging van cloud-first strategieën
De trend naar 'cloudmigratie' leek lange tijd onomkeerbaar, maar steeds meer bedrijven heroverwegen deze strategieën. Geopolitieke instabiliteit speelt hierbij een grote rol. Amerikaanse cloudleveranciers vallen onder wetgeving zoals de CLOUD Act, waardoor Europese data mogelijk in de VS toegankelijk kan worden. Dit kan de controle over vertrouwelijke gegevens aantasten. Bovendien vergroot de afhankelijkheid van hyperscalers de kwetsbaarheid van systemen; een storing of cyberaanval in de cloud kan enorme gevolgen hebben voor de bedrijfsvoering.
Daarnaast speelt de ketenverantwoordelijkheid onder NIS2 een belangrijke rol. Die wet verplicht organisaties om toezicht te houden op de cyberweerbaarheid van leveranciers. Dit wordt vaak bemoeilijkt door de beperkte (fysieke) controle over cloudomgevingen, die vaak afhankelijk zijn van contractuele regelingen. In dit licht kan het aantrekkelijker zijn om kritieke systemen 'on-premise' te houden of gebruik te maken van hybride oplossingen, vooral voor organisaties die werken met vitale infrastructuur of strategische bedrijfsinformatie.
De rol van de CISO: sparringpartner voor de bestuurder
Bestuurders kunnen niet langer de verantwoordelijkheid voor cybersecurity volledig aan de Chief Information Security Officer (CISO) delegeren, zie ook de handreiking van de Cyber Security Raad (CSR). Bestuurders moeten actief betrokken zijn en zich regelmatig (laten) informeren over de staat van de cyberveiligheid binnen hun organisatie. Dit houdt in dat ze niet alleen op de hoogte moeten zijn van dreigingen en incidenten, maar ook van de effectiviteit van de maatregelen die genomen worden.
Essentiële vragen die bestuurders periodiek aan zichzelf en de CISO moeten stellen, zijn onder andere:
- Wat zijn de kroonjuwelen van onze organisatie en hoe worden die beschermd?
- Welke systemen zijn zó kritisch dat we heroverwegen of ze überhaupt nog via de cloud moeten draaien?
- Hoe afhankelijk zijn we van leveranciers voor essentiële digitale functies?
- Wat is de status van onze back-up- en herstelplannen?
- Hoe is onze operationele technologie (OT) gekoppeld aan IT, en wat is daar het kwetsbaarheidsprofiel?
- Hebben wij zicht op onze ‘schaduw-IT’? Ofwel: systemen die buiten centrale controle vallen?
De communicatie tussen bestuur en CISO moet niet sporadisch zijn, maar structureel, bij voorkeur elk kwartaal, én moet inzichten bieden in dreigingstrends, incidenten en Key Control Indicators (KCI's).
Aansprakelijkheid van bestuurders: een collectieve en persoonlijke verantwoordelijkheid
De wetgeving die de aansprakelijkheid voor cyberincidenten regelt, is streng en heeft vergaande gevolgen. De NIS2 en de Nederlandse (concept) implementatiewetgeving Cbw, legt een collectieve verantwoordelijkheid bij bestuurders voor de beveiliging van hun organisaties tegen cyberrisico’s. Dit betekent dat bestuurders niet alleen verantwoordelijk zijn voor het goedkeuren en toezien op de cyberveiligheidsmaatregelen, maar ook persoonlijk aansprakelijk kunnen worden gesteld als het fout gaat en zij onvoldoende toezicht hebben gehouden op de uitvoering van de cyberbeveiliging.
De wetgeving vereist tevens dat bestuurders binnen twee jaar aantoonbare kennis hebben van cyberrisico’s en risicobeheersingsmaatregelen. Dit betekent dat bestuurders regelmatig trainingen moeten volgen om op de hoogte te blijven van de snel evoluerende dreigingen en technologieën.
Wat kunnen bestuurders nu doen?
Bestuurders hoeven geen technische experts te worden, maar ze moeten wél in staat zijn om strategisch geïnformeerde beslissingen te nemen over de cyberveiligheid van hun organisatie. De handreiking van de Cyber Security Raad biedt een aantal waardevolle handvatten om deze verantwoordelijkheid serieus te nemen.
Daarnaast moeten bestuurders ervoor zorgen dat hun organisatie een solide governance-structuur heeft rondom cybersecurity, waarbij de CISO voldoende middelen en autonomie krijgt om zijn of haar taken effectief uit te voeren. Dit betekent ook dat er een duidelijke rapportagestructuur moet zijn, zodat bestuurders regelmatig op de hoogte worden gesteld van de status van de cyberbeveiliging.
Cybersecurity is niet enkel juridisch van aard, maar ook technisch. En voor een grotere beheersing van dat laatste, kan een (gedeeltelijke) on-premise oplossing werken.
Conclusie: cybersecurity is een bestuurszaak
De dreigingen op het gebied van cybersecurity zijn reëel, de wetgeving is streng en de strategische risico's zijn groot. Bestuurders moeten zich realiseren dat cybersecurity een IT-vraagstuk is alsmede een kwestie van goed bestuur. Dit vraagt om strategische betrokkenheid, periodieke evaluatie en het stellen van de juiste vragen. Door actief toezicht te houden op de cyberveiligheid kunnen bestuurders niet alleen juridische risico’s beperken, maar ook de veerkracht en reputatie van hun organisatie waarborgen.
Het is de verantwoordelijkheid van elke bestuurder om te zorgen voor een veilig digitaal fundament dat de continuïteit van de bedrijfsvoering ondersteunt. Vragen of niet weten waar te moeten starten? Onze specialisten staan klaar om u te ondersteunen bij de juridische compliance én hebben het netwerk om IT partijen in te schakelen.
