Aansprakelijkheid en zorgvuldigheid aantoonbaar
Wat aantoonbaar bestuurlijk handelen onder NIS2 en DORA in de praktijk vraagt
Aantoonbaarheid van zorgvuldig bestuurlijk handelen onder NIS2 en DORA is geen document en geen polis. Het is de combinatie van vier dingen die op elkaar moeten passen: een traceerbare besluitlijn van risico naar maatregel met namen erbij, een controlemechanisme dat in de gemeten periode aantoonbaar werkt, een organisatie die volwassen genoeg is om dat ritme zelf te dragen, en een stabiele vertaling van die werking naar het bestuur. Eén van die vier ontbreken betekent dat het dossier niet staat. Vier samen, in een herhaalbaar ritme, vormen wat een toezichthouder of een aandeelhouder later wil zien als hij vraagt of het bestuur zorgvuldig heeft gehandeld.
Voor jou als CFO is dit niet een papieren onderwerp. Onder NIS2 artikel 20 keurt het bestuursorgaan de cyberbeveiligingsmaatregelen zelf goed en houdt het toezicht op de uitvoering, onder NIS2 artikel 32 kan een toezichthouder dat afdwingen, en onder DORA is de verantwoordelijkheid voor het ICT-risicoraamwerk niet-delegeerbaar bij het bestuur belegd. De zorgvuldigheidsplicht uit Boek 2 Burgerlijk Wetboek geeft de civielrechtelijke route die daar bovenop loopt. Wat in deze drie kaders samenvalt: een toezichthouder of een rechter kijkt niet of er een rapport ligt, hij kijkt of het bestuur heeft gewogen, beslist, gevolgd en bijgestuurd. Dat is een ritme, geen archief.
Wat betekent aantoonbaarheid hier precies
Aantoonbaarheid in deze context betekent dat een derde, zonder dat je erbij zit, uit jullie eigen stukken kan reconstrueren wat het bestuur wist, wanneer het iets wist, welke afweging het heeft gemaakt, en wat het daarna heeft besloten. Niet uit één document, wel uit een keten.
De vier dragers liggen op vier verschillende plekken in de organisatie en horen op vier verschillende plekken zichtbaar te zijn.
Traceerbare besluitlijn. Van risico naar maatregel naar besluit naar uitvoeringsverantwoordelijke, met datum en handtekening. Niet een GRC-tab met groene vinkjes, wel een lijn waarvan elk segment in een notulenset is terug te vinden. Een goedkeuring zonder onderbouwing in dezelfde vergadering is geen goedkeuring, het is een handtekening onder een document dat het bestuur niet kan navertellen.
Werkend controlemechanisme. De maatregel doet wat hij hoort te doen in de gemeten periode. Niet ontworpen om te werken, wel waarneembaar werkend, met bewijs dat een onafhankelijke partij kan natrekken. De maatregel die alleen op papier staat, telt formeel mee in de risicoanalyse en formeel niet mee in de aantoonbaarheid.
Volwassen organisatie. De maatregel draait zonder dat één persoon hem schraagt, met overdraagbare procedures, met capaciteit die niet afhangt van toevallige beschikbaarheid, en met een opvolging-lijn als die persoon morgen wegvalt. Een sterk individu in een zwakke organisatie levert geen aantoonbaarheid, dat levert kwetsbaarheid die op het verkeerde moment zichtbaar wordt.
Stabiele board-vertaling. Wat het controlemechanisme oplevert komt in een vaste vorm en op een vaste cadans op de bestuurstafel terug, in eenheden waarop het bestuur kan beslissen. Geen wisselende dashboards, geen elk kwartaal andere indicatoren, wel een rapportagelijn die zich over twee jaar laat vergelijken met zichzelf.
De vier dragers samen vormen de aantoonbaarheid. De vier dragers afzonderlijk vormen een illusie ervan.
Waarom een document de aantoonbaarheid niet draagt
In veel organisaties is aantoonbaarheid impliciet gedelegeerd aan het document: het beleid, het assessment-rapport, het GRC-systeem, de NIS2-zelfverklaring. Dat is begrijpelijk en in praktijk onvoldoende. Een document beschrijft een moment, een richtlijn, een intentie. Een toezichthouder onder NIS2 of een rechter onder Boek 2 BW kijkt naar wat het bestuur met dat document heeft gedaan, niet of het document bestaat.
Het NCSC wijst er in zijn governance-publicaties consistent op dat de zwakke plek in de meeste organisaties niet zit in het bestaan van beleid, maar in de keten die het beleid moet dragen: van vaststelling naar uitvoering, van uitvoering naar meting, van meting naar herziening. Een organisatie kan een uitstekend beleid hebben, een matige uitvoering, een ontbrekende meting, en een herziening die daarom niets te herzien heeft. Op papier compleet, in werking afwezig.
Een tweede reden waarom het document de aantoonbaarheid niet draagt is praktisch. Een document raakt veroudert in stilte. Een ritme raakt zichtbaar gestoord. Het verschil is precies wat de toezichthouder zoekt: een organisatie die merkt dat haar maatregel niet meer werkt, kan dat melden en bijsturen. Een organisatie die alleen documenten kent, merkt het pas bij een audit. Het ritme is daarmee niet alleen het bewijs, het is ook de waarneming.
Waar zit dan het werk
Het werk zit op vier plekken, en het is de moeite waard ze uit elkaar te houden, want ze vragen verschillende mensen, verschillende capaciteiten en verschillende ritmes.
Het werk in de besluitvorming. Hier hoort cyberveiligheid niet in een toelichting maar in een agendapunt met een besluit. De CISO bereidt voor, het bestuur weegt, de notulen registreren wat is gewogen en wat is besloten. Een agendapunt zonder besluit is in de notulen niet terug te vinden, en wat niet in de notulen staat heeft formeel niet plaatsgevonden. Onder NIS2 artikel 20 is dit niet vrijblijvend: de richtlijn benoemt het bestuursorgaan als degene die de risicobeheersmaatregelen goedkeurt, niet de CISO of de CIO.
Het werk in de uitvoering. Hier zit het verschil tussen een maatregel die bedacht is en een maatregel die draait. De uitvoeringsverantwoordelijke heeft mandaat, capaciteit en een rapportagelijn naar boven die niet door één persoon wordt onderbroken. Onder DORA staat dit specifieker geformuleerd in de eisen aan het ICT-risicoraamwerk: het bestuursorgaan keurt het kader goed, ziet toe op de uitvoering, en laat zich er aantoonbaar in bijscholen. De aantoonbaarheid van de uitvoering is daarmee een bestuurlijk verantwoordelijkheid, niet een operationele.
Het werk in de meting. Hier komt de onafhankelijke standmeting binnen: de audit, het penetratie-onderzoek, de externe toetsing tegen een norm. Het werk is niet de meting zelf, het werk is de besluitvorming over wat gemeten wordt, op welke cadans, met welk diepte-niveau. Wie ieder jaar dezelfde audit doet omdat het zo gegroeid is, mist de bestuurlijke kant ervan. De meting volgt de risicobeoordeling, niet andersom.
Het werk in de bijscholing. NIS2 artikel 20 vraagt expliciet dat bestuursleden regelmatig training volgen om zelf risico's te kunnen beoordelen en de kwaliteit van het advies van de CISO te kunnen wegen. Een bestuurslid dat een SOC-rapport krijgt en niet weet welke vraag erbij hoort, vult dit punt niet in. De richtlijn vraagt om opleiding die in verhouding staat tot de complexiteit van de entiteit, niet om een algemene voorlichting per jaar.
Hoe ziet een aantoonbaar ritme er bestuurlijk uit
Een ritme is geen frequentie. Een ritme is een opeenvolging van handelingen die zich herhaalt en die ergens leesbaar wordt vastgelegd. Voor cyberveiligheid op bestuursniveau ziet dat er gewoonlijk zo uit, ongeacht de sector.
Halfjaarlijkse weging van het risicobeeld. Het bestuur krijgt een geactualiseerd beeld van de drie tot vijf scenario's die de organisatie het hardst raken, in een eenheid waarop het kan beslissen. Het beeld kent een ondergrens en een bovengrens, en het wijst op wat veranderd is sinds de vorige weging.
Jaarlijkse goedkeuring van het maatregelenpakket. Het bestuur keurt formeel het samenhangende pakket goed met een besluit erbij, niet alleen een toelichting. De goedkeuring verwijst naar het risicobeeld dat eronder ligt, en de uitvoeringsverantwoordelijken zijn per maatregel benoemd.
Twee onafhankelijke metingen per jaar. Een externe toetsing tegen een norm, en een tweede meting op een ander onderwerp dat uit de risicobeoordeling als prioriteit komt. De uitkomsten gaan terug naar het bestuur in een vorm die het kan lezen zonder vertaling vooraf.
Continue bijsturing in de uitvoering. De CISO heeft mandaat en cadans om binnen het goedgekeurde pakket bij te sturen, en rapporteert afwijkingen op tijd. Bestuurlijke escalatie volgt een vast pad dat niet wordt uitgevonden in het moment.
Jaarlijkse bijscholing van het bestuur. Een sessie die verder gaat dan een generieke update, gericht op de scenario's die de organisatie raken, met de vragen die het bestuur daarbij hoort te stellen.
Dit ritme is niet zwaar. Het is herkenbaar voor elk bestuur dat ook financiële en operationele risico's serieus weegt. Wat het verschil maakt is de discipline om het te houden in een jaar waarin niets gebeurt, want dat is precies het jaar waarin de aantoonbaarheid wordt opgebouwd.
Wat dit voor jouw positie als CFO betekent
De CFO die bestuurlijk meebeslist over cyberveiligheid heeft twee tegenstrijdige verleidingen. De eerste is om zich erbuiten te plaatsen omdat het technisch lijkt. De tweede is om binnen te stappen op het verkeerde niveau en het werk van de CISO over te doen. Allebei leveren een zwakker bestuurlijk dossier op dan stoppen op het juiste niveau.
Het juiste niveau voor jou is de keten zelf. Niet de techniek erin, niet de tooling eronder, wel de vraag of de vier dragers staan en met elkaar verbonden zijn. Of er een traceerbare besluitlijn loopt waarop jouw naam ook ergens staat. Of het controlemechanisme aantoonbaar werkt in de gemeten periode of dat de meting ontbreekt. Of de organisatie de werking zelf draagt of dat één persoon hem schraagt. Of de board-vertaling stabiel is of dat de eenheden elk kwartaal verschuiven.
Die vier vragen kun je stellen zonder een technische taal te leren. Ze zijn bestuurlijk. En ze zijn precies de vragen die een toezichthouder onder NIS2 of DORA zal stellen, en die een rechter onder Boek 2 BW als toetsingskader zal gebruiken als het ooit zo ver komt. Wie ze in de bestuurstafel binnenbrengt voordat een toezichthouder ze stelt, bouwt het dossier dat hij later nodig heeft. Wie wacht tot een aanleiding zich aandient, bouwt onder druk een dossier dat er nooit zo had moeten uitzien.
De aantoonbaarheid komt niet uit een document. Ze komt uit een ritme dat zich laat tonen. Het document is het bewijsstuk, niet de daad. De daad is de cadans, de weging, het besluit, de meting, de bijstelling. Wie die cadans heeft, kan op het juiste moment uitleggen wat het bestuur wist, wanneer het iets wist, en wat het daarmee heeft gedaan. Dat is wat zorgvuldig bestuurlijk handelen in deze regelgeving betekent. Niet meer, en niet minder.