Cyberveiligheid: van bijzaak naar bestuurszaak

Interview met Marije Bakker en Marlou Snelders (FME Digitalisering en Cybersecurity)

Toch verandert dat snel. Nieuwe Europese regelgeving maakt cyberveiligheid niet langer een ‘IT-feestje’, maar een verantwoordelijkheid van het bestuur. In 2026 en 2027 verschuift de eindverantwoordelijkheid nadrukkelijk naar de top van de organisatie. De vraag is dus niet óf je ermee aan de slag moet, maar: ben jij er al klaar voor? 

Waar innovatie versnelt, groeit ook de kwetsbaarheid

De technologische industrie ontwikkelt zich razendsnel. Digitalisering biedt enorme kansen voor innovatie, efficiëntie en groei. Tegelijkertijd brengt het ook nieuwe risico’s met zich mee. Hoe afhankelijker je wordt van digitale systemen, hoe kwetsbaarder je bent voor verstoringen.

Volgens Marije Bakker, Manager Digitalisering en Cyberweerbaarheid bij FME, is dat risico in de technologische sector zelfs groter dan bij andere branches. “Je hebt niet alleen te maken met je IT-omgeving, maar ook met je OT-omgeving,” legt ze uit. “Steeds meer machines op de werkvloer bevatten digitale componenten en zijn verbonden met netwerken. Daarmee ontstaan er meer ingangen voor cyberaanvallen.”

Dat betekent dat cyberveiligheid zich niet meer beperkt tot kantooromgevingen of servers, maar ook direct impact kan hebben op je productieproces. Een aanval kan dus niet alleen je data raken, maar ook je machines stilleggen.

Eén klik verwijderd van grote schade

Cyberaanvallen zijn allang geen ver-van-je-bed-show meer. Marlou Snelders, Belangenbehartiger Digitalisering en Cybersecurity bij FME, ziet dagelijks hoe bedrijven doelwit worden. “Phishing en ransomware komen nog steeds veel voor,” zegt ze. “Maar ook BEC-fraude (Business Email Compromise) neemt toe, waarbij je een ogenschijnlijk geloofwaardige e-mail ontvangt van je CEO of je collega.” Door AI-gegenereerde e-mails is het mogelijk om in korte tijd grote hoeveelheden berichten te versturen die er uiterst persoonlijk en geloofwaardig uitzien. Eén klik op een verkeerde link kan al voldoende zijn om toegang te geven tot al je systemen.

De financiële impact van cyberaanvallen is enorm. Marije: “Soms moet je je bedrijf tijdelijk stilleggen en externe experts inschakelen om de schade te herstellen. Die experts kosten veel geld, maar bedenk ook wat het je dagelijks kost als je niets kunt produceren. Daarbij kunnen cybercriminelen je vragen losgeld te betalen om verdere schade te beperken”.

Naast directe financiële gevolgen heeft een cyberaanval volgens Marlou ook indirecte financiële gevolgen: “Reputatieschade bij datalekken waarbij privégegevens van klanten en personeel op straat komen te liggen, kunnen jarenlang nagalmen. En vergeet ook de emotionele impact op je personeel niet. Cyberincidenten zorgen voor druk, stress, onzekerheid en extra werk. Dat wordt vaak onderschat.”

Een klik is menselijk, de reactie maakt het verschil

Hoewel techniek een grote rol speelt, begint cyberveiligheid uiteindelijk bij mensen. Maar we moeten af van het idee dat de mens de zwakste schakel is. Volgens Marlou draait het daarom niet alleen om bewustwording, maar vooral om cultuurverandering. “Iedereen krijgt dagelijks tientallen e-mails. In de haast klik je weleens ergens op zonder goed na te denken. Dat kan iedereen overkomen.”

De sleutel hierin ligt hoe je daar als organisatie mee omgaat. Marlou: ”Zorg voor een cultuur waarin medewerkers fouten durven toe te geven. Als iemand snel aan de bel trekt, kun je direct ingrijpen en de schade beperken. Maar als fouten uit angst worden verzwegen, loop je het risico dat je te laat bent.”

Een open en veilige werkomgeving waarin incidenten bespreekbaar zijn, is dus minstens zo belangrijk als technische beveiligingsmaatregelen. Cyberveiligheid is daarmee niet alleen een IT-vraagstuk, maar ook een organisatievraagstuk.

Nieuwe regels, gedeelde verantwoordelijkheid

De urgentie rondom cyberveiligheid wordt verder vergroot door nieuwe Europese wetgeving. Met de komst van de Cyberbeveiligingswet (de Nederlandse implementatie van de NIS2-richtlijn) en de Cyber Resilience Act (CRA) worden de eisen aan digitale weerbaarheid flink aangescherpt.

De NIS2-richtlijn verplicht organisaties onder andere tot strengere beveiligingsmaatregelen en een meldplicht bij incidenten. De CRA richt zich op de veiligheid van producten en hardware met digitale componenten. Samen zorgen deze regels ervoor dat cyberveiligheid structureel wordt ingebed in je organisatie, of je nu groot bent of klein. Ook als toeleverancier of partner moet je voldoen aan de eisen. Cyberveiligheid wordt echt een ketenverantwoordelijkheid.

Eén zwakke schakel in de keten kan immers grote gevolgen hebben voor alle betrokken partijen. Het is daarom essentieel om niet alleen intern maatregelen te treffen, maar ook actief in gesprek te gaan met partners over beveiligingseisen en gezamenlijke risico’s. Daarbij komt dat de verantwoordelijkheid nadrukkelijk bij het bestuur van het bedrijf komt te liggen, zelfs tot op het punt dat bestuurders persoonlijk aansprakelijk gehouden kunnen worden. Cyberveiligheid is niet langer de verantwoordelijkheid voor de (externe) IT-afdeling, maar voor de directie. Cyberrisico’s worden daarmee een strategisch thema, net als financiën of veiligheid op de werkvloer.

Van verplichting naar kans

Nieuwe wet- en regelgeving voelt vaak als een extra belasting. Meer administratie, meer controles en meer verplichtingen. Toch biedt deze ontwikkeling ook kansen. Marije: “Bedrijven die hun cyberveiligheid aantoonbaar op orde hebben, worden aantrekkelijker voor opdrachtgevers en partners. Zie cyberveiligheid daarom niet alleen als een verplichting, maar als een investering in je concurrentiepositie. Je laat zien dat je je zaken serieus op orde hebt en dat je een betrouwbare partner bent. Dat kan je voor de toekomst nieuwe opdrachten en samenwerkingen opleveren.”

Cyberweerbaarheid en jouw organisatie: je staat er niet alleen voor

De nieuwe wet- en regelgeving rondom cyberveiligheid kan overweldigend zijn. Gelukkig hoef je het niet alleen te doen. FME ondersteunt haar leden actief bij het versterken van hun cyberweerbaarheid. Zo kun je deelnemen aan één van de vele webinars en evenementen die FME organiseert over cybersecurity en de bijbehorende wetgeving. Ook organiseert FME cyberoefeningen waarin een crisis wordt gesimuleerd. Tijdens zo’n oefening leer je samen met experts hoe je moet handelen bij een cyberincident.

Daarnaast zijn er initiatieven om je cyberveiligheid aantoonbaar te maken, bijvoorbeeld via assessments en certificeringen zoals het CYRA-model. Daarmee kun je niet alleen je eigen risiconiveau bepalen, maar ook dat van je toeleveranciers. Marije: “Met een vragenlijst kun je partners indelen in verschillende niveaus. Hoe belangrijker de leverancier of partner, hoe hoger het niveau en dus hoe strenger de eisen. Zo krijg je grip op de hele keten.” 

Ook op het gebied van verzekeringen zijn er mogelijkheden. Via FME Ledenvoordeel kun je bijvoorbeeld een cyberverzekering afsluiten, zodat je beter voorbereid bent op financiële gevolgen.

De eerste stap naar cyberweerbaarheid zet je nu

Het belangrijkste advies van FME is duidelijk: wacht niet af. De veranderingen komen eraan en hoe eerder je begint, hoe beter je voorbereid bent. Marije snapt dat niemand zit te wachten op extra werk, maar de nieuwe regelgeving biedt ook inzicht: “Het dwingt je om eens kritisch naar je bedrijfsprocessen te kijken. Door bijvoorbeeld een risicoanalyse uit te voeren, krijg je inzicht in waar je kwetsbaar bent en waar je kunt verbeteren. Laat je daarbij niet afschrikken door de omvang van het onderwerp. Je hoeft niet alles in één keer perfect te doen. Het begint met bewustwording en het zetten van de eerste stappen.”

Dit artikel verscheen eerder in het FME Ledenvoordeel Magazine (zomereditie 2026). Meer lezen over 'Veilig ondernemen in de technologische industrie'? Bekijk hier het magazine.