De board-vraag waar geen CISO antwoord op heeft: doen we genoeg
Waarom 'doen we genoeg aan cyber' geen vraag is, en welke vraag wel
"Doen we genoeg aan cyber" is geen vraag waar een CISO op kan antwoorden. Niet omdat de CISO te weinig weet, maar omdat de vraag een referentiepunt mist. Genoeg ten opzichte van wat. Genoeg waartegen. Genoeg gemeten waarmee. Zolang het bestuur de vraag in deze vorm stelt, krijgt het een antwoord dat ofwel geruststellend is en dus onwaar, ofwel eerlijk en dus onbruikbaar. De vraag deugt niet. De plicht van de CISO is niet om hem alsnog te beantwoorden, maar om hem te herformuleren tot iets dat het bestuur kan wegen op dezelfde manier waarop het kredietrisico en marktrisico weegt.
Waarom "doen we genoeg" geen vraag is waar een antwoord op past
Het bestuur stelt de vraag in goed vertrouwen. Een commissaris vraagt het, een aandeelhouder vraagt het, en bij elke nieuwsregel over een ransomware-incident in een vergelijkbare sector vraagt iemand het opnieuw. De CISO komt aan tafel met een dashboard, een volwassenheidsscore, een aantal closed findings en een trendlijn die de goede kant op wijst. Een uur later loopt het bestuur de zaal uit met het gevoel dat het is geïnformeerd. Niemand kan zeggen of er genoeg is gedaan, want niemand heeft een schaal vastgesteld waarop dat woord betekenis krijgt.
Vergelijk dat met de manier waarop hetzelfde bestuur naar krediet kijkt. De CRO komt niet aan tafel met de mededeling "we doen genoeg aan kredietrisico". Hij komt met een verwacht verlies, een onverwacht verlies, een buffer, en een afgesproken risico-appetijt waar al die getallen tegen aan worden gelegd. Het bestuur stelt geen vragen over de kleur van een dashboard. Het stelt vragen over de bandbreedte rond het verwachte verlies en over of de buffer toereikend is bij een scenario dat het bestuur zelf benoemt. Dat gesprek is mogelijk omdat krediet decennia geleden zijn taal heeft gevonden. Cyber heeft die taal nog niet, en blijft daarom hangen in toon en geruststelling.
Het ongemak begint bij het woord "genoeg". Het suggereert een absolute drempel die niet bestaat. Risico verdwijnt niet, het verschuift en het krijgt een prijs. Wat het bestuur eigenlijk wil weten is of de organisatie het juiste evenwicht heeft tussen wat zij accepteert aan restrisico en wat zij eraan uitgeeft om dat restrisico te verlagen. Dat evenwicht heeft een naam: risico-appetijt. Zonder die appetijt geformuleerd, is "genoeg" een gevoel. Met die appetijt geformuleerd, wordt het een berekening.
Welke vragen heeft het bestuur écht nodig
De herformulering is geen taaltrucje. Ze verandert wat de CISO meeneemt naar de zaal en wat het bestuur daarmee kan. Vier vragen vervangen samen "doen we genoeg".
Risico-appetijt. Wat is onze risico-appetijt voor cyberverlies, in euro's per jaar en in incident-impact per gebeurtenis? Niet een tabel met groen, oranje en rood. Een bandbreedte met een ondergrens die het bestuur verwerpt en een bovengrens die het bestuur accepteert. Zonder die appetijt heeft elke cyber-uitgave geen toetssteen.
Verwacht verlies versus appetijt. Wat is ons huidige verwachte jaarlijkse cyberverlies, in dezelfde eenheid, en hoe verhoudt dat zich tot de appetijt? Niet één cijfer, maar een bandbreedte. Een centrale schatting met een onder- en bovengrens die de onzekerheid eerlijk weergeeft. Verwacht verlies onder de appetijt betekent: ruimte om te verschuiven naar groei. Verwacht verlies boven de appetijt betekent: keuze tussen meer investering, meer acceptatie of meer overdracht.
Top-drie scenario's. Welke drie scenario's raken ons het hardst, en wat doen we voor, tijdens en na elk daarvan? Niet alle scenario's. De drie die in jouw landschap, sector en afhankelijkheidsketen het meest waarschijnlijk en het meest impactvol zijn. Een ransomware-uitbraak die de productieomgeving stillegt. Een diefstal van klantgegevens die toezichtmelding en notificatie triggert. Een uitval van een kritieke leverancier waar je technisch en contractueel aan vastzit. Voor elk scenario: detectietijd, hersteltijd, eerste euro's schade, en wie aan de telefoon zit binnen het eerste uur.
Evenredigheid van maatregelen. Zijn onze maatregelen evenredig met onze risico's, en onderscheidend op wat het belangrijkst is? Een maatregel die je tien procent restrisico kost en één procent budget, is goedkoop. Een maatregel die je één procent restrisico kost en tien procent budget, is duur. Het bestuur hoeft niet elke maatregel te zien. Het hoort wel te zien welke top vijf maatregelen het grootste deel van het restrisico afdekken, en welke daar buiten vallen.
Deze vier vragen zijn niet bedoeld om de CISO in een hoek te zetten. Ze zijn bedoeld om hem aan dezelfde kant van de tafel te zetten als de CRO en de CFO. Een gesprek over cyber dat in dezelfde eenheid wordt gevoerd als een gesprek over krediet, is een gesprek waarin het bestuur beslissingen kan nemen. Een gesprek dat in dashboardkleuren wordt gevoerd, is een gesprek waarin het bestuur alleen hoeft te knikken.
Welke bronnen onderbouwen deze herformulering
De vier vragen vallen niet uit de lucht. Drie internationale referentiekaders schrijven precies deze manier van werken voor. NIST Cybersecurity Framework, in de versie 2.0 uit 2024, definieert "Govern" als eerste functie en plaatst risico-appetijt en risicotolerantie expliciet onder bestuurlijke verantwoordelijkheid. Niet ergens diep in een appendix, maar als kernfunctie naast Identify, Protect, Detect, Respond en Recover. ISO 27005 over informatiebeveiligingsrisicobeheer beschrijft de cyclus van risico-identificatie, -analyse, -evaluatie en -behandeling, en vereist dat de uitkomst wordt gewogen tegen een eerder vastgestelde acceptatiedrempel. Beide kaders gaan ervan uit dat een organisatie haar appetijt vastlegt voordat zij maatregelen kiest, niet andersom.
De NIS2-richtlijn doet hetzelfde, maar dan met bestuurlijke aansprakelijkheid eronder. Artikel 20 vraagt expliciet dat het bestuursorgaan van een essentiële of belangrijke entiteit de cyberbeveiligingsmaatregelen goedkeurt. Een goedkeuring zonder afgewogen risico-appetijt is een handtekening onder een document dat het bestuur niet kan navertellen. Wie aan deze drie kaders tegelijk wil voldoen, kan de board-vraag niet meer in zijn oude vorm beantwoorden. De kaders dwingen de herformulering af.
Het NCSC publiceert in lijn hiermee handreikingen voor bestuurders, met nadruk op aantoonbare betrokkenheid van het bestuur bij de weging van maatregelen. Niet vinkjes onder een rapport, maar verslagen waaruit blijkt dat het bestuur de afweging heeft gemaakt. Dezelfde gedachte als bij NIST en ISO, vertaald naar de Nederlandse toezichtspraktijk.
Welke documenten en cadans dragen het gesprek
De vier vragen leven niet vanzelf. Ze hebben een vaste set documenten nodig die elke vergadering op dezelfde plek terugkomen. Vijf stukken samen dragen de afspraak.
Risico-appetijt-statement. Een document van twee tot drie pagina's dat in euro's en in incident-impact benoemt wat het bestuur accepteert en wat niet. Eenmaal per jaar opnieuw vastgesteld, met expliciete heroverweging als de strategie verandert.
Cyber-risicoregister. Een register dat per kwartaal wordt geactualiseerd, met de grootste vijf tot acht risico's, hun verwachte jaarlijkse verlies in bandbreedte, en de keuze tussen mitigeren, accepteren en overdragen.
Scenario-set. Drie tot vier uitgewerkte gebeurtenissen, met detectietijd, hersteltijd, juridische verplichtingen, communicatiepaden en bestuurlijke beslismomenten. Eenmaal per jaar tegen het licht houden in een tabletop met het voltallige bestuur, niet alleen met IT.
Maatregelen-overzicht. Een kwartaal-overzicht dat de top vijf inzet aan budget en capaciteit toont, gekoppeld aan welk risico daarmee wordt afgedekt. Geen lange technische lijst, wel zichtbare evenredigheid tussen geld en risico.
Bestuursverslag. Een verslag met een vaste agenda en een vaste cadans. Per kwartaal een korte voortgang, eenmaal per jaar een diepteweging van appetijt en register samen. Notulen bevatten besluiten, niet alleen toelichtingen.
Deze vijf stukken vragen geen nieuwe afdeling. Ze vragen dat de CISO zijn werk anders ordent, en dat de secretaris van het bestuur er een vaste plek voor inruimt. Wie ze eenmaal heeft staan, ziet de board-vraag verschuiven. Niet "doen we genoeg" maar "klopt onze appetijt nog, en kloppen onze maatregelen daar nog mee". Dat is een vraag waar je op kunt antwoorden.
Wat dit van de CISO vraagt
Twee bewegingen tegelijk. De eerste is technisch: leren rekenen aan cyberrisico in geld. Niet exact, wel met bandbreedtes die eerlijk zijn over de onzekerheid. Daar bestaan methodes voor, en ze zijn aan te leren in een paar weken. De tweede is bestuurlijk: stoppen met aanleveren wat het bestuur niet kan wegen. Geen volwassenheidsscores, geen dashboard-kleuren, geen percentage van een framework. Wel een appetijt, een register, scenario's, evenredige maatregelen en een verslag.
Beide bewegingen vragen rust bij de CISO. De verleiding is groot om met meer cijfers, meer detail en meer geruststelling te komen. De board-vraag verandert pas als het antwoord verandert. Dat antwoord is korter, droger en bestuurlijker dan wat nu in de meeste organisaties op tafel komt. Het ongemak dat dit oplevert in het eerste of tweede gesprek, is precies het ongemak waaruit een volwassen risicogesprek ontstaat. Op de derde keer is het de nieuwe norm.
"Doen we genoeg aan cyber" verdwijnt niet als vraag. Maar wie hem stelt aan een CISO die de herformulering heeft doorgezet, krijgt geen geruststelling terug. Hij krijgt een appetijt, een verwacht verlies en drie scenario's. Hij krijgt het materiaal waarmee het bestuur de afweging zelf maakt. Dat is precies waar een bestuur voor zit, en dat is precies wat een CISO te leveren heeft.