Nederlandse bedrijven zien cyberrisico’s steeds vaker als de grootste bedreiging voor bedrijfscontinuïteit en operationele processen. Toch beschouwen veel organisaties cybersecurity nog altijd niet als een verantwoordelijkheid van de CEO. Dat blijkt uit nieuw onderzoek van HarfangLab, de Europese specialist in cybersecurity voor workspace detection and response.
Meer dan twee derde (69%) van de ondervraagde Nederlandse organisaties verwacht dat een cyberincident een aanzienlijke impact kan hebben op zowel de bedrijfsvoering als de omzet. Bijna de helft (43%) geeft aan dat een cyberaanval al binnen dezelfde werkdag gevolgen heeft voor de omzet. Volgens 7% gebeurt dit zelfs binnen enkele uren. Ondanks deze risico’s noemt slechts 23% van de organisaties bedrijfscontinuïteit en snel herstel de belangrijkste focus van hun cybersecuritystrategie. Daarnaast zegt meer dan de helft (54%) van de bedrijfsleiders dat cybersecurity binnen hun organisatie vooral wordt gezien als een technisch probleem, in plaats van een gedeelde verantwoordelijkheid van de directie.
Cybersecurity krijgt wel een plekje op de agenda van de CEO wanneer omzet direct in gevaar komt: organisaties die binnen enkele uren omzetverlies ervaren na een cyberincident, maken cyberveiligheid vaker een prioriteit voor de CEO dan gemiddeld (43% tegenover 30%). Dit suggereert dat de verantwoordelijkheid vanuit de top toeneemt wanneer de impact op de bedrijfsvoering direct en tastbaar wordt.
Omzetverlies treedt binnen uren op, herstel duurt dagen
Nederlandse bedrijfsleiders zien cyberaanvallen als de grootste bedreiging voor bedrijfscontinuïteit, nog vóór geopolitieke instabiliteit, personeelstekorten en AI-gerelateerde risico’s. Cyberrisico’s krijgen prioriteit omdat ze direct, meetbaar en operationeel van aard zijn.
Meer dan een kwart (29%) van de Nederlandse leidinggevenden geeft aan dat een verstoring van kritieke bedrijfsprocessen van 24 uur zou leiden tot aanzienlijk of ernstig omzetverlies, gelijk aan ten minste 16% van de dagelijkse omzet. Daarnaast verwacht 3% van de bedrijfsleiders zelfs een verlies van 25% of meer van de dagelijkse omzet.
Tegelijkertijd schatten Nederlandse leidinggevenden dat het gemiddeld 4,27 dagen duurt om na een cyberincident weer volledig operationeel te zijn. Daarmee ontstaat een steeds grotere kloof tussen de snelheid waarmee financiële schade optreedt en de tijd die nodig is om te herstellen.
Verantwoordelijkheid blijft versnipperd
Hoewel cyberrisico’s steeds vaker als een bedrijfsrisico worden gezien, is de verantwoordelijkheid ervoor nog altijd verdeeld over verschillende technische en bestuurlijke functies. Daardoor ontbreekt binnen veel organisaties een duidelijke verantwoordelijke voor cyberweerbaarheid.
Volgens het onderzoek ligt de verantwoordelijkheid voor cyberveiligheid bij 30% van de Nederlandse organisaties bij de CEO, bij 22% bij de CISO en bij 31% bij de CIO. Er is daarmee geen duidelijke eigenaar van cyberweerbaarheid binnen Nederlandse organisaties.
Ook de verantwoordelijkheid na een datalek of cyberincident is versnipperd. Bijna een derde (32%) van de Nederlandse respondenten verwacht dat de CEO verantwoordelijk wordt gehouden, terwijl 30% wijst naar CIO’s, CISO’s of CTO’s. Daarnaast noemt 13% externe dienstverleners als verantwoordelijke partij.
AI-investeringen groeien sneller dan cybergovernance
Terwijl organisaties zich steeds bewuster worden van cyberdreigingen, investeren zij tegelijkertijd in hoog tempo in kunstmatige intelligentie. De grootste groep investeert vooral in productiviteit en efficiëntie (24%), terwijl slechts 16% AI-investeringen primair richt op cybersecurity en digitale verdediging.
Tegelijkertijd vereist meer dan de helft van de Nederlandse organisaties (59%) een veiligheidsbeoordeling voordat AI-tools worden ingezet. Slechts 49% beschikt over formeel vastgelegde AI-richtlijnen.
Deze resultaten suggereren dat veel Nederlandse bedrijven AI sneller implementeren dan dat zij de noodzakelijke governance- en beveiligingsmaatregelen ontwikkelen. Hierdoor ontstaat een groeiende disbalans tussen de snelheid van AI-adoptie en het vermogen van organisaties om de nieuwe veiligheidsrisico’s die daarmee gepaard gaan effectief te beheersen.
Regelgeving vergroot bestuurlijke verantwoordelijkheid
Nu cyberrisico’s steeds nauwer verbonden raken met bedrijfscontinuïteit, neemt ook de druk vanuit wet- en regelgeving toe. Cyberveiligheid verschuift daardoor steeds meer naar de bestuurskamer.
Meer dan de helft (60%) van de Nederlandse bedrijfsleiders stelt dat cybersecurityregelgeving leidt tot meer verantwoordelijkheid op bestuursniveau. Daarnaast maakt 61% zich zorgen over persoonlijke aansprakelijkheid bij cyberincidenten.
Hoewel 68% van de Nederlandse respondenten Europese cybersecurityregelgeving ziet als een concurrentievoordeel, blijkt de praktische uitvoering voor veel organisaties uitdagend. Zo geeft 66% aan moeite te hebben om te begrijpen wat regelgeving concreet van hen verlangt. Daarnaast vindt 57% het lastig om het tempo van nieuwe wet- en regelgeving bij te houden.
“Er is een duidelijke kloof zichtbaar tussen bewustzijn en eigenaarschap”, zegt Anouck Teiller, Deputy CEO van HarfangLab. “Bedrijfsleiders erkennen de verstoring en omzetverliezen die cyberincidenten kunnen veroorzaken, maar de verantwoordelijkheid voor cyberveiligheid blijft versnipperd en wordt nog te vaak gezien als een IT-vraagstuk.”
“Cyberweerbaarheid vraagt om duidelijk eigenaarschap, ondersteund door sterke interne expertise en betrouwbare externe partners. Organisaties die cyberveiligheid benaderen als een kwestie van bedrijfscontinuïteit, in plaats van een technisch probleem dat kan worden opgelost met een groter budget, zullen uiteindelijk het meest weerbaar zijn.”
Dit bericht is geplaatst op ons open Business channel en valt buiten de verantwoordelijkheid van de redactie.
