Cybersecurity: is de boardroom aan boord?

security Security

Gepubliceerd op 2025-09-01 door William Visterin

Cybersecurity is vandaag een boardroom topic, klinkt het vaak. Maar in welke mate zijn bestuurders ook effectief aan boord? Guberna, het Belgisch instituut voor bestuurders, zocht het uit binnen haar community.

Dit artikel verscheen oorspronkelijk in SAI Update, het digitaal magazine van SAI. Leden van SAI kunnen het magazine integraal lezen.

Cybersecurity governance was de insteek van hun rondvraag. En we overlopen de belangrijkste resultaten.

1. Drijfveren

Een meerderheid van de bestuurders geeft aan dat hun huidige aanpak rond cyberbeveiliging voornamelijk wordt aangestuurd door industrie-standaarden of richtlijnen (34%). Als tweede en derde keuze zijn input van beroepsorganisaties (25%) en invloed van branchegenoten (23%) de drijfveren voor het kiezen van een cyberbeveiligingsaanpak. Verrassend genoeg wordt bestaande regelgeving gezien als een van de minder belangrijke drijfveren voor cyberbeveiliging (10%).

2. Opleiding

Een op de drie bestuurders heeft (nog) geen specifieke training gevolgd of specifieke certificering behaald op het gebied van cyberbeveiliging.

3. Plan

In 70% van de bedrijven in het onderzoek geven directeuren aan dat ze een up-to-date plan hebben om cyberincidenten te beheren en aan te pakken. 39% geeft aan een plan te hebben dat recent is getest, terwijl een op vijf (21%) aangeeft dat hun cyber incidentplan niet recent is getest.
16% is bezig met de ontwikkeling van een dergelijk plan. Slechts 13% geeft aan niet over een dergelijk plan te beschikken.

4. Cyber als agendapunt

59% vindt dat cyberbeveiliging best een vast punt is op de agenda van de raad van bestuur moet zijn, terwijl de overige 41% het daar niet mee eens is. In de praktijk bespreekt iets meer dan de helft (52%) cyberbeveiliging twee of minder keer per jaar op bestuursniveau.
26% bespreekt het onderwerp ad hoc als de situatie (een incident, rapportage, een investering,…) daarom vraagt. Een kleinere groep bespreekt het onderwerp drie of meer keer per jaar (19%). Bijna niemand (3%) bespreekt het tijdens elke bestuursvergadering.

5. Governance

Zelfs anno 2024 maakt cyberbeveiliging geen deel uit van de governance framework. Zo is in bijna 22% van alle onderzochte organisaties cyberbeveiliging totaal niet ingebed in de governance-structuur van de organisatie, wat volgens Guberna niet als een goede praktijk kan worden beschouwd. Deze praktijk komt vaker voor bij veel kleinere niet-beursgenoteerde bedrijven, middelgrote niet-beursgenoteerde bedrijven en sociale/non-profitorganisaties.

6. Tevredenheid

De grootste groep (39%) geeft aan tevreden te zijn met hun persoonlijke kennisniveau over het onderwerp cyberbeveiliging. Een significante minderheid (19%) is slechts gemiddeld tevreden. Zeer weinig bestuurders zijn helemaal tevreden (2%) of helemaal ontevreden (9%) over hun kennisniveau. Een aandachtspunt is dat één op de drie bestuurders aangeeft ontevreden te zijn over zijn persoonlijke kennisniveau. “Een aanbeveling is dat bestuurders dit onderwerp op de agenda van bestuursvergaderingen zetten. Dit zou gekoppeld moeten worden aan trainingen op directieniveau”, klinkt het bij Guberna.

© SAI 2025 Alle rechten voorbehouden | Privacy | Contact | Lid Worden | Over SAI | Raad van Bestuur | Partners en Steun