Iedereen in je organisatie denkt dat iemand anders het cyberrisico beheert

Samenvatting

Het bestuur praat over cyberrisico. Directie maakt het tot prioriteit. Iemand heeft net een groter securitybudget goedgekeurd.

En toch heeft slechts 6% van de organisaties alle kritieke data-riskcontrols op orde. Dat blijkt uit PwC’s 2026 Global Digital Trust Insights, gebaseerd op input van bijna 3.900 directeuren in 72 landen. Zestig procent noemt cyberrisico een topprioriteit. Zes procent staat er ook echt klaar voor.

Het is geen financieringsprobleem. Het is een eigenaarschapsprobleem. Zolang niemand dat benoemt, verandert er niets.

De vergadering verliep goed. De exposure is er nog steeds.

Stel je de laatste boardvergadering voor waarbij cyberrisico op de agenda stond.

Iemand presenteerde een deck. De directie stelde goede vragen. De CISO gaf zelfverzekerde antwoorden. Het budget werd goedgekeurd.

Iedereen vertrok met het gevoel dat er iets was gebeurd. Er was niets gebeurd.

Die vergadering is het probleem. Besturen letten meer dan ooit op cyberrisico. Zes op de tien directeuren schaart het bij hun top drie van bedrijfsprioriteiten. De operationele gereedheid heeft dat tempo niet bijgehouden. Het gesprek werd serieus voordat de controls dat waren.

De meeste organisaties gaan ervan uit dat aandacht van het management gelijk staat aan beheerst risico. Dat klopt niet. Die aanname houdt stand tot er iets misgaat.

Wat board-level cyberrisico werkelijk betekent

Het is geen agendapunt. Het is een governanceverantwoordelijkheid.

Bestuurders en management dragen verantwoordelijkheid voor de securitypositie van de organisatie, voor investeringsbeslissingen en voor de respons op een breach. Cyberrisico zit hem naast financiële, operationele en risico’s vanuit regelgeving in de manier waarop de organisatie wordt geleid. Niet alleen beheerd.

Wanneer die verantwoordelijkheid serieus wordt genomen, zijn er benoemde eigenaren, meetbare uitkomsten en eerlijke rapportage. Wanneer het symbolisch is, zijn er decks en goedkeuringen.

Aandacht is geen governance

Een concurrent krijgt een breach. De boardbetrokkenheid schiet omhoog. Een toezichthouder publiceert nieuwe regels. Betrokkenheid weer omhoog. Geopolitieke spanning haalt het nieuws. Nog meer omhoog.

Dat is reactieve aandacht. Het voelt als governance, maar dat is het niet.

Echte governance stelt andere vragen:

• Niet “nemen we dit serieus?”, maar “wie is verantwoordelijk als er iets misgaat?”
• Niet “hebben we het budget verhoogd?”, maar “welk risico verkleint dat budget, en hoe meten we dat?”
• Niet “hebben we een CISO?”, maar “heeft onze CISO de bevoegdheid om dingen te zeggen die we niet willen horen?”

De meeste besturen kunnen die vragen niet direct beantwoorden. Dat is de governance gap.

De 6% waarvan je ’s nachts wakker ligt

Het getal dat als vooruitgang wordt geciteerd, is 60%. Dat is het verkeerde getal om op te focussen.

Het getal dat ertoe doet, is 6%. Dat is het aandeel organisaties met alle kritieke data-riskcontrols op orde. 94% heeft dat niet.

In de praktijk betekent dat:

• Securitytools die niet met elkaar communiceren. Alerts die niemand opvolgt. Visibility gaps tussen cloud, on-prem en third-party systemen.
• Verantwoordelijkheidsstructuren die op papier helder lijken en uit elkaar vallen zodra een incident zich voordoet. Wie krijgt de melding om 2 uur ’s nachts? Wie informeert toezichthouders? Wie besluit systemen offline te halen?
• Boardrapportages die het securityprogramma beschrijven in termen die het management wil horen. Niet in termen die de werkelijke controlesituatie weerspiegelen.

Dat los je niet op met een budgetverhoging. Je lost het op met governance.

Wat meer dan 20 jaar aan Zero Trust ervaring leert over boardgovernance

ON2IT is in 2005 opgericht om Zero Trust op enterprise-schaal te opereren. Wij beheren Zero Trust governance voor organisaties in gereguleerde sectoren, in echte omgevingen, langer dan welke andere MSSP ook. Wij hebben gezien wat een incident overleeft, en wat niet.

In de organisaties waar boardaandacht en operationele gereedheid daadwerkelijk op elkaar aansluiten, zijn vier factoren aanwezig:

1. Verantwoordelijkheid die een incident overleeft.

Een specifiek persoon is eigenaar van de cyberrisicouitkomsten. Met echte bevoegdheid. Met directe boardtoegang. Met een eerlijk mandaat. Niet een rapportagelijn die via drie lagen loopt voor hij het management bereikt.

2. Risicorapportage in bedrijfstermen.

Het bestuur ontvangt informatie gericht op impact. Wat is onze exposure? Wat kost een materieel incident? Welke controls zijn nog niet aanwezig, en wat laat dat openstaan? Indicatoren zijn voor het operationele team. Impact is voor het bestuur.

3. Investeringen gekoppeld aan concrete risicoverlaging.

Securityuitgaven zijn traceerbaar naar een risicoregister. De directie trekt de lijn van budget naar control naar verminderde exposure. Niet van budget naar leverancier naar verlenging.

4. Zero Trust als architecturaal fundament.

Volwassen organisaties passen Zero Trust toe op elke partij en elk toegangsverzoek. Mens, machine en AI-agent. Het geeft het bestuur één coherent model om op te sturen. Geen lappendeken van point solutions die niemand aan een niet-technische bestuurder uit kan leggen.

Deze vier factoren zijn niet theoretisch. Ze zijn wat wij elke dag terugzien bij de organisaties die hun versie van dit verschil hebben gedicht. Ze ontstaan ook niet in één begrotingscyclus. Ze ontstaan door op bestuursniveau te besluiten dat governance het eindproduct is.

Je dreigingsmodel omvat nu ook geopolitiek

Eén bevinding uit het PwC-onderzoek verdient aparte aandacht. Geopolitieke instabiliteit is een directe aanjager van cybersecuritystrategie geworden. Geen achtergrondruis meer. Een actieve input voor prioritering en budgetallocatie.

Dat verandert wie verantwoordelijk is. Geopolitiek risico is geen technische afweging. Het vereist inzicht in welke leveranciers verhoogde exposure dragen. Welke supply chain-partners opereren in jurisdicties die regulatoir of inlichtingenrisico opleveren. Wat de security-implicaties zijn van de cloudproviders waarvan je afhankelijk bent.

Je securityteam kan die vragen articuleren. Ze kunnen ze niet alleen beantwoorden. Die beslissingen vereisen eigenaarschap op directieniveau. En een bestuur dat voldoende begrijpt van het dreigingslandschap om de juiste vragen te stellen bij de briefing.

De meeste besturen zijn daar nog niet. Hen daartoe brengen, is nu onderdeel van de taak van de CISO. Of dat nu in de oorspronkelijke functieomschrijving stond of niet.

De rol van de CISO is veranderd. De meeste functiebeschrijvingen niet.

De CISOs die het verschil tussen boardaandacht en operationele gereedheid dichten, zijn niet degenen die de beste technische briefings geven.

Ze opereren als business-risicobestuurders. Aanwezig in strategiegesprekken. Vloeiend in de taal van verlies en aansprakelijkheid. Bereid het management te vertellen wat ze niet willen horen.

Dat vraagt ook iets van het bestuur. Het vereist dat zij de omstandigheden creëren waaronder eerlijke rapportage wordt beloond, niet gemanaged. Waarbij de CISO optimaliseert voor wat het management moet weten, niet voor wat het wil horen.

Waar die relatie ontbreekt, blijft de 6% op 6%. Het management gelooft dat de organisatie beter beschermd is dan ze werkelijk is. De CISO managet verwachtingen in plaats van risico’s. Dat patroon houdt stand. Tot het incident dat het zichtbaar maakt.

Kernpunten

• 60% van het management stelt cyberinvestering als topprioriteit. Slechts 6% heeft de controls om daar ook echt actie op te ondernemen. Het is een governanceprobleem, geen financieringsvraagstuk.
• Boardaandacht is geen vooruitgang. Echte governance vereist specifiek eigenaarschap, eerlijke rapportage en investeringen gekoppeld aan concrete risicoverlaging.
• Geopolitieke instabiliteit maakt cybersecurity tot een strategische beslissing. Dat vereist eigenaarschap op managementniveau, niet technisch beheer.
• Zero Trust geeft besturen één coherent model om op te sturen. Op elke partij en elk toegangsverzoek. Geen lappendeken van point solutions.
• De CISO is nu een business-risicobestuurder. Het bestuur moet de omstandigheden scheppen die eerlijke rapportage mogelijk maken.

Conclusie

De boardroom is niet het probleem. De meeste besturen stellen de juiste vragen. Het probleem zit in de afstand tussen die vragen en een eerlijk antwoord.

Een verschil van 54 procent tussen gestelde prioriteit en werkelijke controlesituatie sluit niet door een nieuwe begrotingsronde. Hij sluit door drie dingen: benoemen wie het risico bezit, het eerlijk meten, en governancestructuren bouwen die management en operationele werkelijkheid in hetzelfde gesprek houden.

Het bestuur is betrokken. Dat is de kans. Benut je kans vóórdat een incident laat zien of die betrokkenheid grootspraak was.

Aan de slag

Stelt je bestuur cyberrisico centraal, maar weerspiegelt de controlesituatie dat niet? ON2IT staat klaar om je te helpen. Onze Zero Trust governance-assessment brengt in kaart waar je staat ten opzichte van de vier factoren die de 6% onderscheidt van de 94%. Het levert een eerlijk beeld voor het management. Neem contact op om het gesprek te starten.