Kun je echt bewijzen dat je organisatie cyberweerbaar is?

Onder DORA en NIS2 draagt het bestuur de expliciete eindverantwoordelijkheid voor de digitale weerbaarheid van de organisatie. Niet als een aandachtspunt op de agenda, maar als een wettelijke plicht. Tegelijkertijd neemt de urgentie toe in het licht van het huidige geopolitieke speelveld.

Uit onze laatste CEO Survey blijkt dat wereldwijd 31 procent van de CEO’s cyberrisico’s als de grootste bedreiging voor hun organisatie zien, hoger dan welk ander operationeel risico ook. De urgentie wordt dus breed erkend, maar er gaapt een kloof tussen die erkenning en de daadwerkelijke grip op het risico. Want de vraag die veel bestuurders nog altijd niet met zekerheid kunnen beantwoorden is: werken onze maatregelen écht?

Dat dit geen uitzondering is, bevestigen de bevindingen uit PwC’s Digital Trust Insights 2026: slechts acht procent van de Nederlandse organisaties investeert significant meer in proactieve maatregelen, tegenover 24 procent wereldwijd. De meerderheid opereert nog steeds vanuit een reactieve cyclus terwijl een moderne aanpak organisatie aan staat stelt cybersecurity risico's proactief te identificeren en te adresseren.

Waarom compliance je een vals gevoel van veiligheid geeft

De traditionele aanpak van cybersecurity is compliancegedreven. Je werkt met standaardraamwerken, vinkt normen af en voert periodiek een audit uit. Dat is niet waardeloos, maar het is onvoldoende. Compliance vertelt je of je aan de regels voldoet. Het vertelt je niet of je verdediging standhoudt tegen de aanvallers die zich op dit moment op jouw sector richten.

Dat onderscheid is niet theoretisch. Bij een grote Europese fabrikant leidde een cyberincident recent tot het uit voorzorg offline halen van kernsystemen. Het gevolg: wekenlange verstoring van productie en operatie, met directe impact op leveringen, dealers en de hele keten eromheen. Het bedrijf had ongetwijfeld een securitybeleid. Het had waarschijnlijk ook audits doorstaan. Maar de verdediging bleek in de praktijk niet bestand tegen het type aanval dat plaatsvond.

Niet toevallig wijst PwC's Digital Trust Insights uit dat eerdere ervaringen met cyberinbreuken voor veel Nederlandse organisaties één van de meest bepalende factoren zijn bij het heroverwegen van investeringsprioriteiten. Een pijnlijke bevestiging dat de sector nog te veel wacht tot het te laat is, in plaats van deze voor te zijn.

Cyberdreigingen vertalen naar euro's

Als bestuurder hoef je geen technisch expert te zijn. Maar je moet wél in staat zijn om cyberrisico's te wegen naast andere bedrijfsrisico's. Dat kan alleen als dreigingen worden uitgedrukt in taal die je al spreekt: kans, impact, urgentie en handelingsperspectief.

Het zogeheten FAIR-model (Factor Analysis of Information Risk) maakt die vertaling mogelijk. In plaats van een abstract dreigingsniveau krijg je antwoord op concrete vragen: hoe groot is de kans dat dit specifieke scenario zich voordoet? Wat is de verwachte schade? Welke onderdelen van de business worden geraakt?

Neem ransomware. In plaats van alleen te praten over kwetsbaarheden, kijk je naar de gevolgen: wat kost het als kernsystemen uitvallen, leveringen stilvallen of klantdata niet beschikbaar is? Door dat scenario door te rekenen en te koppelen aan realistische aanvalspaden, kun je keuzes maken op basis van daadwerkelijke exposure. Waar zit het grootste risico, en welke maatregel verlaagt dat risico aantoonbaar?

Van toolportfolio naar dekkingskaart

Veel organisaties beschikken over tientallen beveiligingsoplossingen. Ze werden aangeschaft om specifieke risico’s te adresseren, maar in de loop van de tijd is het overzicht vertroebeld. Tools overlappen, zijn onderconfigureerd, of dekken in de praktijk andere technieken dan de leverancier belooft. De vraag ‘wat doen onze tools eigenlijk?’ is voor de meeste organisaties lastiger te beantwoorden dan ze verwachten.

Dat inzicht is echter onmisbaar. Want voordat je kunt testen of je verdediging werkt, moet je weten wat die verdediging in theorie moet afdekken. Door je beveiligingsoplossingen te mappen op gestandaardiseerde dreigingskaders, zoals MITRE ATT&CK en het NIST Cybersecurity Framework, en die mapping te contextualiseren op het dreigingsprofiel van jouw sector en geografie, ontstaat een dekkingskaart. Die kaart geeft een objectief beeld van welke aanvalsgedragingen jouw tools kunnen tegenhouden of detecteren, en welke niet. Claims van leveranciers worden daarbij getoetst aan gestandaardiseerde criteria, niet aan marketingmateriaal.

De dekkingskaart onthult drie dingen tegelijk:

• aanvalstechnieken die door geen enkele tool worden afgedekt,
• tools die dezelfde technieken bestrijken zonder extra bescherming, en
• functies die je betaalt maar niet activeert.

Die combinatie maakt gerichte investeringsbeslissingen mogelijk, inclusief wat-als-analyses bij vervanging of afstoting van tools.

Dat dit een erkend knelpunt is, blijkt ook uit het eerder genoemde onderzoek: consolidatie van het beveiligingstoolportfolio staat bij Nederlandse organisaties hoog op de agenda als antwoord op de krappe arbeidsmarkt. De wens om te consolideren is er, maar zonder inzicht in wat de bestaande tools werkelijk afdekken, blijft consolidatie een blinde bezuiniging.

Dit is de tactische schakel tussen strategische risicokwantificering en operationeel testen. Zonder deze tussenlaag test je in het wilde weg en investeer je op gevoel. Met deze mapping weet je waar de zwakste plekken zitten in je verdediging en kun je daar gericht op testen en bijsturen. Omdat dreigingslandschappen en toolconfiguraties voortdurend veranderen, is de waarde niet in een eenmalige oefening, maar in een levend beeld dat continu wordt bijgehouden.

Testen tegen de werkelijkheid, niet tegen een checklist

Een dekkingskaart vertelt je wat er in theorie zou moeten werken. Maar of het ook daadwerkelijk werkt, is een andere vraag en dat is precies wat je met de strategie ‘threat informed defense’ beantwoordt: je toetst je maatregelen structureel aan actuele aanvalstechnieken, in plaats van te vertrouwen op generieke controles.

Een concreet voorbeeld: het is bekend dat veel aanvallers gebruikmaken van 'living off the land'-technieken, waarbij ze bestaande IT-tools op misleidende wijze inzetten. De vraag is dan niet óf je een beleid hebt tegen dit type aanval, maar of je detectiesystemen het herkennen, je medewerkers getraind zijn op deze signalen, en of je securityprovider er daadwerkelijk op reageert.

Met gestructureerde testmethoden, gebaseerd op het MITRE ATT&CK-framework, een wereldwijd erkend overzicht van hoe cybercriminelen te werk gaan, kun je dit structureel en herhaalbaar toetsen. Niet één keer per drie jaar bij een red team-oefening, maar doorlopend. Zo ontstaat een continu leerproces waarbij je verdediging zich aanpast aan de realiteit, in plaats van aan de planning.  

Hoe dit werkt in de praktijk

Een organisatie voerde een gezamenlijke oefening uit met het verdedigende securityteam en externe ethische hackers, op basis van een actueel dreigingsprofiel. De uitkomst: bepaalde aanvalstechnieken bleken niet te worden gedetecteerd door het bestaande monitoringsysteem. Dit was een concreet, aantoonbaar gat in de verdediging.

Om de omvang van dat gat te begrijpen, werd de bestaande beveiligingsstack vervolgens gemapped op het MITRE ATT&CK-framework. Dat leverde niet één blinde vlek op, maar een patroon: meerdere aanvalstechnieken uit het dreigingsprofiel van de sector werden door geen enkele tool in de stack afgedekt, terwijl twee andere tools grotendeels dezelfde technieken bestreken. De dekkingskaart maakte in één oogopslag zichtbaar waar de verdediging tekortschoot en waar budget dubbel werd ingezet.

Vervolgens werd het FAIR-model ingezet om de potentiële schade van deze blinde vlek in euro's uit te drukken. Het resultaat was niet een technisch rapport dat in een la verdween, maar een onderbouwd investeringsvoorstel dat het bestuur overtuigde om te investeren in aanvullende monitoring.

Dát is het punt. Niet technologie om de technologie, maar meetbaar inzicht dat leidt tot onderbouwde beslissingen.

Van plicht naar bewijs

Cybersecurity is geen IT-onderwerp meer. Het is een bestuurlijke verantwoordelijkheid met wettelijke consequenties. De combinatie van 'threat informed defense’ en FAIR geeft bestuurders wat ze nodig hebben: niet meer dashboards en rapporten, maar bewijs dat de verdediging werkt en een gemeenschappelijke taal waarmee CISO's, securityteams en het bestuur risico's samen kunnen wegen.

Organisaties die dat kunnen aantonen, staan sterker. Niet alleen tegenover toezichthouders, maar tegenover klanten, partners en medewerkers. Want in een wereld waarin cyberdreiging een constante is, is aantoonbare weerbaarheid geen compliance-exercitie. Het is een strategisch voordeel.