Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Vragen die je als bestuurder kunt stellen aan de CISO

Kennisartikelen
Leestijd:
Risicomanagement
Groeien
Dit artikel helpt jou als bestuurder om de belangrijke dialoog aan te gaan met de CISO. Het doel van dit artikel is niet het opleveren van een checklist om compliant te zijn, maar om de dialoog op gang te helpen en om de bestaande relatie te versterken en de samenwerking en het vertrouwen tussen jou en de CISO. We helpen je daarnaast om de juiste vragen te stellen zodat je zicht krijgt op de uitvoering van cyberbeveiligingsmaatregelen en deze kunt begrijpen en goedkeuren (Cbw, Artikel 24).

Doelgroep: 

Dit artikel is geschreven voor bestuurders die behoefte hebben om grip te krijgen op de uitvoering van cyberbeveiligingsmaatregelen en om de samenwerking met de CISO te verbeteren in het kader van de Cbw. 

Intentie en randvoorwaarden

Het doel van dit artikel is om de belangrijke dialoog tussen de bestuurder en de CISO op gang te helpen. Houd bij het lezen van dit artikel rekening met het volgende: 

  1. De vragen uit dit artikel zijn geen vragen die één keer gesteld worden om een checklist af te vinken. Ze dienen als startpunt om de gesprekken tussen bestuurder en CISO vorm te geven. 
  2. Deze onderwerpen zijn niet de enige onderwerpen waarover gesproken kan of moet worden. Elke organisatie is uniek, daarom hoeven niet alle vragen passend te zijn voor jouw organisatie. Mogelijk zijn er naast deze vragen meer onderwerpen relevant binnen de organisatie. 
  3. Mogelijk komen er binnen de organisatie OT-systemen voor. De verantwoordelijkheid van OT-systemen ligt niet altijd bij de CISO. In dat geval is het van toegevoegde waarde om degene die hier wel verantwoordelijk voor is te betrekken bij het gesprek of om met diegene een apart gesprek te voeren. 

Cyberbeveiligingswet (Cbw)

Cbw, Artikel 24 (governance) richt zich tot het bestuur van organisaties. Het bestuur dient de maatregelen (zoals bedoeld in de zorgplicht, Cbw, Artikel 21) goed te keuren en toe te zien op de uitvoering ervan. Daarnaast dienen de leden van het bestuur te beschikken over (toonbaar actuele) kennis en vaardigheden om de risico’s voor de beveiliging van netwerk- en informatiebeveiliging te identificeren en de beheersmaatregelen te beoordelen. 

1.Veiligheidscultuur

Hoe zorg jij als CISO voor een positieve veiligheidscultuur met betrekking tot cybersecurity en hoe kan ik als bestuurder hieraan bijdragen?

Het succesvol borgen van cybersecurity binnen een organisatie valt of staat met de medewerkers. Bij een positieve veiligheidscultuur kun je denken aan een omgeving waarin medewerkers geen drempel ervaren bij het bespreekbaar maken van zorgen en waarin medewerkers bewust en alert zijn. Ze worden niet veroordeeld en gestraft voor fouten, maar worden aangemoedigd om van fouten te leren. Een positieve veiligheidscultuur maakt ruimte voor een constructieve dialoog over (on)veilig gedrag. Een goed voorbeeld vanuit de bestuurder draagt hier positief aan bij. 

Deelvragen: 

  • In hoeverre is er binnen de organisatie sprake van een positieve veiligheidscultuur?
  • Wat is er (nog) nodig om een positieve veiligheidscultuur te creëren?
  • Wat kan ik als bestuurder doen om te zorgen voor een positieve veiligheidscultuur?
  • Hoe hebben we geregeld dat onze managers meldingen serieus nemen en melders ondersteunen in het proces?
  • Hoe kunnen we als organisatie onze meldingsbereidheid verhogen?
  • Welke escalatiemogelijkheden zijn er voor de medewerkers als een melding onvoldoende prioriteit krijgt?

2. Kennis

In hoeverre beschik ik over de juiste kennis en vaardigheden betreffende cybersecurity om te kunnen beoordelen dat onze digitale weerbaarheid op een passend niveau is?

De Cyberbeveiligingswet vereist dat je als bestuurder over de juiste kennis en vaardigheden beschikt. Deze vraag stel je om in kaart te brengen wat je hiervoor nodig hebt. Maak hierbij van de gelegenheid gebruik om ook kennis binnen de rest van de organisatie te bespreken. 

Deelvragen:

  • Over welke kennis en vaardigheden moet ik beschikken om mijn rol als bestuurder goed in te kunnen vullen? Welke certificaten zijn in jouw ogen passend voor de kennis die ik moet hebben?
  • Wat zijn de grootste obstakels op het gebied van kennis waar we ons op moeten richten? 
  • Welk kennisniveau is nodig binnen de rest van de organisatie? 
  • In hoeverre zijn er opleidingen en trainingen nodig binnen de organisatie?

3. Verantwoordelijkheid

Op welke manier kan ik invulling geven aan mijn verantwoordelijkheid voor cybersecurity binnen de organisatie? 

De Cbw stelt het bestuur van een belangrijke of essentiële entiteit verantwoordelijk voor de invulling van maatregelen. Wat dit betekent en hoe je dit inricht in je organisatie is wellicht nog niet duidelijk. Het is belangrijk om hier de dialoog over aan te gaan, zodat je verwachtingen kunt uitspreken en hier afspraken over kunt maken. 

Deelvragen:

  • Wat verandert er door de Cbw betreffende mijn verantwoordelijkheid?
  • Hoe maken we een geprioriteerde lijst van acties voor mij als bestuurder?
  • Wat heb jij, de CISO, van mij nodig om voldoende grip op jouw taken, bevoegdheden en verantwoordelijkheden (TBV) te hebben?
  • Hoe kunnen wij de TBV’s voor ons beiden duidelijker maken? 
  • Wat heb je nodig om ervoor te zorgen dat het management voldoende mensen en middelen toewijst om de doelstellingen te realiseren? 
  • Welk mechanisme is er binnen de organisatie om de cybersecuritystrategie te borgen en voor goedkeuring van beleid rondom risicomanagement door het management?

4. Bestuursagenda

Welke cybersecurityonderwerpen laten we periodiek op de bestuursagenda terugkomen en hoe borgen we de kwaliteit van de informatie en gesprekken over dit onderwerp? 

Cybersecurity periodiek toevoegen aan de bestuursagenda geeft de mogelijkheid om de samenwerking en relatie bestuurder en CISO te versterken. Als bestuurder blijf je beter op de hoogte, zodat je de juiste beslissingen neemt. Cruciaal is dat de CISO aansluit wanneer cybersecurity op de bestuursagenda staat, zodat de CISO vanuit zijn/haar expertise kan adviseren. 

Houd bij de voorgestelde vragen rekening met de volwassenheid van de organisatie en denk aan het afspreken van contactmomenten.

Deelvragen: 

  • Met welke frequentie staat cybersecurity op de agenda zodat we borgen dat er voldoende voortgang is op dit onderwerp? 
  • Hoe houden we elkaar op de hoogte? 
  • Hoe kunnen we de wederzijdse behoeften bespreekbaar maken?
  • Welke rol en taak heeft de CISO wanneer hij/zij aansluit bij bestuursvergaderingen?

5. Risicobeoordeling

Hebben we onze risico’s in beeld en hoe komen we tot een risicobeoordeling? 

De Cbw vereist dat bestuurders relevante risico’s (en de gevolgen ervan) kunnen identificeren en beoordelen. Zorg dat je het gesprek hierover aangaat en er samen achter komt of je inzicht hebt in de risico’s die je loopt en of je dit op de juiste manier aanpakt. 

Het doel van een risicobeoordeling is om tot een rangschikking te komen van de belangrijkste risico’s. Voor zo’n risicobeoordeling moet je eerst weten wat de te beschermen belangen (TBB) van jouw organisatie zijn. Inzicht in je TBB helpt je om prioriteiten te stellen en risicogebaseerd te werken. Ga naar Risicobeoordeling als je hierover meer wilt weten, als onderdeel van risicomanagement. 

Deelvragen: 

  • Wat zijn onze belangrijkste assets en processen om onze organisatiedoelstellingen te bereiken? Wat zijn onze TBB’s?
  • Worden er risicoanalyses uitgevoerd? Zo ja, wat zijn op hoofdlijnen de uitkomsten?
  • Wat heb je nodig om voldoende inzicht te krijgen in de risico’s (en dreigingen) die we als organisatie lopen?
  • Wat moet ik als bestuurder weten om voldoende inzicht te krijgen in de risico’s die we lopen?
  • Wat zijn onze grootste dreigingen?
  • Hoe identificeren en berekenen we de kans en impact? Welke rol speel ik hierin?

6. Risicobehandeling

Hoe zorgen we ervoor dat we onze risico’s op de juiste manier beheersen? 

De Cbw vereist dat jij als bestuurder de maatregelen goedkeurt die worden getroffen onder de zorgplicht. Ga daarom het gesprek hierover aan. Het doel van deze fase binnen risicomanagement, risicobehandeling, is om risico’s te terug te brengen naar een acceptabel niveau. Jij, als bestuurder, bent verantwoordelijk om dit niveau van risicobereidheid vast te stellen. 

Deelvragen: 

  • Welke maatregelen hebben we getroffen om onze kroonjuwelen te beschermen? Wat is de status van deze maatregelen? 
  • Wat zijn onze opties om [noem een risico] te behandelen? Wat zijn hier de gevolgen van (kosten, organisatorisch, etc.)?
  • Welke maatregelen nemen we niet? Waarom niet? Moeten we hier verder over praten? 
  • Wie is er verantwoordelijk voor de getroffen maatregelen? 
  • Hoe houden we zicht op de uitvoering/naleving van de maatregelen? 
  • Wanneer het misgaat, hebben we dan een noodvoorzieningenplan (back-up/redundancy systeem) en een incidentresponseplan? Hoe zien deze eruit? 
  • Als bestuur moeten wij onze risicobereidheid vaststellen. Hoe maken we inzichtelijk hoe we risico’s behandelen en wat de gevolgen hiervan zijn zodat wij als bestuur een besluit kunnen nemen?

7. ‘Continuous in control’ proces

Hoe richten we ons ‘continuous in control’ proces in voor cybersecurity?

Een continuproces hanteren op het gebied van cybersecurity, ten opzichte van een eenmalige tijdsinvestering, is cruciaal. Door een continuproces te hanteren gebaseerd op analyses, maatregelen, monitoring en evaluaties zorg je ervoor dat je zicht houdt op risico’s die je loopt en of de gekozen aanpak de juiste is. Wanneer daar iets in verandert, beoordeel je dat opnieuw. Het doel van deze vraag is om als bestuurder meer grip te krijgen op de overkoepelende cybersecuritystrategie. Als er geen strategie is, gebruik je deze vragen als gespreksstarter voor het opzetten van een cybersecuritystrategie. 

Deelvragen: 

  • Hebben wij een cybersecuritystrategie? Hoe ziet deze eruit? 
  • In hoeverre zijn onze beheersmaatregelen in lijn met veelgebruikte cybersecuritynormen?
  • Hoe komen we tot een gedragen ‘continuous in control’ proces binnen onze organisatie?
  • Wie hebben we hiervoor nodig en wat is mijn rol?

8. Wet- en regelgeving

Als we uitvoeren wat we hebben besproken, voldoen we dan aan de huidige wet- en regelgeving op het gebied van cybersecurity? Wat moeten we mogelijk nog doen? 

Deze vraag stel je aan het einde van het gesprek zodat je samen kunt terugblikken of je de belangrijkste thema’s hebt besproken op het gebied van wet- en regelgeving. Om aan wet- en regelgeving te voldoen moet de CISO weten wat er van hem/haar wordt verwacht en moet hij/zij over de juiste tools beschikken om hieraan te kunnen werken. 

Deelvragen

  • Wat heb je als CISO nodig om te begrijpen wat er van onze organisatie wordt verwacht in het kader van wet- en regelgeving? Hoe kan ik je hierbij ondersteunen? 
  • Wat moet er gebeuren om de huidige tekortkomingen aan te pakken en wat heb jij als CISO van mij nodig? Waar ligt de prioriteit volgens jou? 
  • Kun je me vertellen hoe onze organisatie omgaat met de aansprakelijkheid van (leden van) het bestuur in geval van niet-naleving van de zorg- en meldplicht uit de Cbw? 
  • Welke vraag heb ik je niet gesteld, waarvan je zou willen dat ik die had gesteld? 

Afsluiting

Om tot het juiste niveau van digitale weerbaarheid te komen, is de wisselwerking tussen bestuur en CISO van groot belang. Leer elkaars taal spreken, zodat je elkaar vanuit je eigen expertise verder kunt helpen.

Lees ook het artikel ‘Hoe breng ik mijn te beschermen belangen in kaart’ zodat je in kaart kunt brengen wat voor jouw organisatie de te beschermen belangen zijn. 

Voor gemeenten: Team ENSIA heeft samen met de IBD tools ontwikkeld om een goed gesprek te voeren over informatiebeveiliging. Ga naar Tools voor gesprek over informatiebeveiliging - Digitale Overheid om hier verder over te lezen. 

Lees ook de Handreiking Cybersecurity voor bestuurders en bedrijfseigenaren, gepubliceerd door de Cyber Security Raad heeft. Deze handreiking bevat praktische richtlijnen waar bestuurders en bedrijfseigenaren direct mee aan de slag kunnen. 

In samenwerking met: 
Ministerie van Economische Zaken en Klimaat, ABN AMRO, Tesorion, CIO Platform Nederland, CIZ, Dutch Institute for Vulnerabilty Disclosure, Dunea, Cyberveilig Nederland, Online Trust Coalitie.

Formulier
Heeft deze pagina je geholpen?