Cyberveiligheidsrisico's nemen alsmaar toe binnen bedrijven aangezien (i) telewerk en het gebruik van cloud computing werknemers uitgebreide toegang bieden tot bedrijfsgegevens, (ii) uitbesteding een uitwisseling van informatie veronderstelt en (iii) cyberspionage en gegevensdiefstal geen uitzondering meer zijn bij fusies en overnames. Nu het voortbestaan zelf van (zowel grote als kleine) ondernemingen steeds meer wordt bepaald door haar weerbaarheid tegen dergelijke kwetsbaarheden, moet het bestuursorgaan een fundamentele rol spelen in het beheer van cyberveiligheidsrisico's. Bij de start van de (tiende editie van de) European CyberSecMonth verdient dit onderwerp nog wat extra aandacht.
Uitdagingen voor het bestuursorgaan
Een bedrijf kan aan uiteenlopende cyberveiligheidsrisico’s worden blootgesteld.
Ten eerste is er het risico van een aanval op de IT-systemen of een datalek dat kan leiden tot administratieve of zelfs strafrechtelijke sancties.
Ten tweede bestaat het risico dat de productie, de verkoop en de dagelijkse activiteiten worden verstoord, wat een lagere omzet en winst met zich meebrengt.
Ten slotte kan de cyberweerbaarheid van de onderneming in vraag gesteld worden, met alle gevolgen van dien: een inbreuk schaadt niet alleen de reputatie van het bedrijf, maar ook het vertrouwen in de bekwaamheid van het bestuur.
Zo hebben aandeelhouders al het ontslag van bestuurders geëist of juridische stappen tegen hen ondernomen wegens cyberaanvallen.
Aangezien een cyberaanval of datalek elke afdeling van het bedrijf treft, kan cyberveiligheid niet worden beschouwd als een loutere IT-kwestie. Net als elk ondernemingsrisico vereist cyberveiligheid een duidelijke strategie van het bestuursorgaan.
Rol van het bestuursorgaan
Het bestuur hoeft niet alle technische aspecten te begrijpen, maar is wel verantwoordelijk voor het beheer van cyberveiligheidsrisico's. Zich bewust zijn van de risico's is niet genoeg; elk bestuursorgaan heeft een cyberveiligheidsbeleid nodig om een veilige gegevenssfeer te creëren.
Vaak wordt het onderwerp cyberveiligheid pas besproken als het bedrijf het slachtoffer is geworden van een cyberaanval of van een datalek.
Bedrijven moeten inderdaad de gevolgen van een aanval kunnen beheersen, maar nog belangrijker is het aspect van risicopreventie.
Allereerst is het de verantwoordelijkheid van de bestuurders om hun personeel bewust te maken van de cyberveiligheidsrisico’s.
Ten tweede moet worden bepaald welk risico de onderneming bereid is te nemen in het licht van haar strategische doelstellingen. Daartoe moeten bestuurders de risico's rangschikken naar omvang of impact en vervolgens bepalen welke risico's prioriteit moeten krijgen.
Ten derde moet het bestuursorgaan beslissen over een gepast budget voor technische en organisatorische maatregelen en, indien nodig, over het afsluiten van een cyberrisicoverzekering.
Conclusie
Kortom, het is duidelijk dat cyberveiligheid niet enkel een probleem voor de IT-afdeling is en dat het bestuursorgaan zijn rol in het beheer van cyberveiligheidsrisico’s binnen het bedrijf niet langer kan ontkennen.
Steeds meer wordt de sleutelrol van het bestuur op het gebied van cyberveiligheid ook vastgelegd in wet- en regelgeving of standaarden. Volgens het door de AVG erkende verantwoordingsbeginsel is het bestuur bijvoorbeeld verantwoordelijk voor de algemene naleving van de wetgeving inzake gegevensbescherming. Volgens artikel 38, lid 3 van de AVG brengt de functionaris voor gegevensbescherming ook rechtstreeks verslag uit aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke of de verwerker. Verder legt de toekomstige Verordening betreffende digitale operationele veerkracht voor de financiële sector (onder wie banken en (her)verzekeraars) de verantwoordelijkheid voor ICT-risicobeheer bij het hoogste bestuursniveau binnen de organisatie. Ten slotte vertrouwen ICT-beveiligingsstandaarden, zoals de ISO 27001, het bestuursorgaan ook de algemene verantwoordelijkheid voor IT-beveiliging toe.
Bent u bestuurslid, dan raden wij u aan het onderwerp 'cybersecurity' op de agenda van uw volgende bestuursvergadering te zetten. Dit vormt meteen de gelegenheid om na te gaan waar uw bedrijf of organisatie staat in zijn cyberveiligheidsstrategie en om te bepalen of een actieplan nodig is.µ