Vragen die je als bestuurder kunt stellen aan de CISO
Deze factsheet helpt jou als bestuurder om het juiste gesprek te hebben met de CISO en zo grip te krijgen op de cyberveiligheid van je organisatie. Het doel van deze factsheet is dan ook niet zozeer het opleveren van een checklist om compliant te zijn, maar om de belangrijke dialoog tussen bestuurder en CISO op gang te helpen. De vragen en bijbehorende subvragen in dit document zijn gespreksstarters op een aantal belangrijke onderwerpen. Zo ga je niet alleen het gesprek aan, maar versterk je ook de bestaande relatie, samenwerking en het vertrouwen tussen jou en de CISO.
Deze factsheet probeert jou als bestuurder in een positie te brengen om overzicht te hebben op de uitvoering van maatregelen op het gebied van cyberbeveiligingsrisico’s en om deze te begrijpen en goed te keuren. (NIS2, Artikel 20, lid 1).
Doelgroep: Deze publicatie is geschreven voor bestuurders die behoefte hebben om grip te krijgen op de uitvoering van maatregelen op het gebied van cyberbeveiligingsrisico’s en de samenwerking met de CISO te verbeteren in het kader van NIS2. |
Deze publicatie is tot stand gekomen met bijdragen van: Digital Trust Centre, ministerie van Economische Zaken en Klimaat, ABN AMRO, Tesorion, CIO Platform Nederland, CIZ, Dutch Institute for Vulnerabilty Disclosure, Dunea, Cyberveilig Nederland, Online Trust Coalitie. |
Intentie en randvoorwaarden
Het beoogde doel van dit product is het samenbrengen van jou, de bestuurder en de CISO om de bestaande onderlinge band te versterken. Hierbij zijn een paar punten ter overweging:
- De vragen in dit document zijn geen vragen die een keer gesteld worden om een checklist af te vinken. Ze dienen puur als middel om de gesprekken tussen CISO en bestuurder vorm te geven.
- Deze vragen zijn niet de enige onderwerpen waarover gesproken kan of moet worden. Elke organisatie is uniek en zodoende kan het zijn dat niet alle vragen passend zijn voor jouw organisatie. Het kan natuurlijk ook voorkomen dat naast deze vragen er nog meer onderwerpen en vragen relevant zijn binnen de organisatie.
- Het kan zijn dat binnen de organisatie OT-systemen voorkomen. De verantwoordelijkheid van OT-systemen ligt niet altijd bij de CISO. In dat geval is het van toegevoegde waarde om de persoon die hier wel verantwoordelijk voor is te betrekken bij het gesprek of hier apart een gesprek mee te voeren.
NIS2 In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen |
Thema 1. Veiligheidscultuur
Met als hoofdvraag “Hoe zorg jij als CISO voor een positieve veiligheidscultuur met betrekking tot cybersecurity en hoe kan ik als bestuurder hieraan bijdragen?” richt deze vraag zich op de cultuur van de organisatie. Het succesvol borgen van cybersecurity binnen een organisatie valt of staat met de medewerkers. Bij een positieve veiligheidscultuur kan er gedacht worden aan een omgeving waarin medewerkers geen drempel ervaren bij het bespreekbaar maken van zorgen en waarin medewerkers bewust en alert zijn. Ze worden niet veroordeeld en gestraft voor fouten, maar worden aangemoedigd om van fouten te leren. Een positieve veiligheidscultuur kan leiden tot een open aanspreekcultuur op onveilig gedrag en een constructieve dialoog over veilig en wenselijke gedragingen. Een goed voorbeeld vanuit de bestuurder draagt hier positief aan bij.
Thema 2. Kennis en vaardigheden
Met als hoofdvraag “In hoeverre beschik ik over de juiste kennis en vaardigheden met betrekking tot cybersecurity om er zeker van te zijn dat onze digitale weerbaarheid op een passend niveau is?” is het nodig dat de bestuurder en de CISO dezelfde taal spreken. Deze vraag is erop gericht om de bestuurder te helpen met het in kaart brengen van de kennis en vaardigheden nodig voor het nemen van verantwoordelijkheid. Tegelijkertijd kan deze vraag de CISO helpen bij het goed uitleggen van de boodschap aan de bestuurder.
Thema 3. Verantwoordelijkheid
Met als hoofdvraag “Op welke manier kan ik invulling geven aan mijn verantwoordelijkheid voor cybersecurity binnen de organisatie?” gaat het vooral om eigenaarschap en rolverdeling. Onder de NIS2 is de bestuurder verantwoordelijk, maar misschien is het niet duidelijk wat die taak eigenlijk betekent. Door het stellen van deze vraag zorg je voor transparantie. Bovendien kun je het gebruiken als een plan van aanpak om vervolgstappen te bespreken en het managen van verwachtingen.
Thema 4. Aandacht management
Met als hoofdvraag ”Welke onderwerpen met betrekking tot cybersecurity laten we periodiek op de bestuursagenda terugkomen en hoe borgen we de kwaliteit van de informatie en gesprekken over dit onderwerp?” helpen we de bestuurder en de CISO in het duidelijk naar elkaar uitspreken en samen zorgen voor de juiste omgeving waarin op het juiste moment, op de juiste manier over de juiste onderwerpen gesproken waardoor impactvol handelen mogelijk is. Het periodiek toevoegen van cybersecurity aan de bestuursagenda geeft de mogelijkheid om de samenwerking en relatie van de bestuurder en CISO te versterken en zorgt ervoor dat je als bestuurder op de hoogte blijft en de benodigde verantwoordelijkheid kan (blijven) nemen. Cruciaal is dat de CISO aansluit wanneer de onderwerpen met betrekking tot cybersecurity worden besproken met de verantwoordelijke bestuurder.
Thema 5. Risico's
Met de hoofdvraag “Hoe zorgen we ervoor dat we de risico’s goed in kaart hebben en weten hoe we deze kunnen beheersen?” wil je weten wat de grootste risico’s zijn voor de organisatie en hoe er naast de CISO, de omgang is vanuit de hele organisatie. Deze vraag biedt focus en creëert een moment om duidelijk de prioriteiten van elkaar te horen om vervolgens een beslissing te nemen.
Thema 6. Te beschermen belangen
Met de hoofdvraag “Hoe bepalen we onze te beschermen belangen en hoe zorgen we ervoor dat die veilig blijven?” is het de bedoeling om inzichtelijk te krijgen wat de huidige getroffen maatregelen zijn voor de te beschermen belangen van de organisatie. Te beschermen belangen zijn zaken die cruciaal zijn voor dienstverlening van jouw organisatie. Voorbeelden van te beschermen belangen zijn: klantgegevens, productiemethoden/bedrijfsprocessen, gegevens over medewerkers, financiële gegevens, bepaalde besturingssystemen of de reputatie van de organisatie. Met deze vraag krijg je als bestuurder inzicht in zowel de te beschermen belangen, de getroffen maatregelen en de overwegingen die hierbij een rol hebben gespeeld.
Thema 7. “Continuous in control” proces
Met als hoofdvraag “Hoe richten we ons “continuous in control” proces in voor cybersecurity?” richt deze vraag zich op het onderbrengen van een continu proces voor cybersecurity gebaseerd op analyses, maatregelen, monitoring en evaluaties en niet een eenmalige investering. Het doel van deze vraag is om als bestuurder meer grip te krijgen op de overkoepelende strategie die binnen de organisatie wordt toegepast omtrent cybersecurity, als dit binnen de organisatie plaatsvindt. Anders kan deze vraag dienen als gesprekstarter voor het inrichten van een strategie op cybersecurity.
Thema 8. Wet-en regelgeving
De hoofdvraag “Als we alles uitvoeren wat we net hebben besproken; voldoen we dan aan de huidige wet- en regelgeving op het gebied van cybersecurity? Wat moeten we mogelijk nog doen?” stel je aan het einde van je gesprek om ervoor te zorgen dat de belangrijkste thema’s zijn besproken en er wordt gewerkt dat de organisatie voldoet aan de huidige wet- en regelgeving. De CISO moet weten wat er van hen wordt verwacht en de juiste tools hebben om de organisatie te voldoen aan de wetgeving en wat de positie is van de organisatie als geheel ten opzichte van de huidige wet- en regelgeving.
Leestip |
1 Eventueel kan de ISO 27001, hoofdstuk 9,3 geraadpleegd worden voor informatie over afstemmomenten en hoe deze vormgegeven kunnen worden om de toepasbaarheid, adequaatheid en effectiviteit te meten.