Raden van bestuur hebben een wettelijke plicht om goed toezicht te houden op risico's. Cyberrisico's vormen inmiddels een kritiek, potentieel materieel bedrijfsrisico. De meeste raden van bestuur zijn echter slecht toegerust om met cyberrisico's om te gaan. Ze beschouwen cyber als te technisch, keuren slechts middelen goed en delegeren het risico.
Voor traditionele bedrijfsrisico's bestaat er een gevestigde praktijk van hoe informatie moet worden gemeld en een aanvaarde verdeling van verantwoordelijkheid/delegatie. Voor cyberrisico's bestaat die momenteel niet. CISO's hebben moeite om de effectiviteit van hun cyberbeveiligingsprogramma te meten en redelijke zekerheid te verschaffen dat het resterende cyberrisico onder de risicobereidheid van het bedrijf blijft. Veel CISO's spreken geen "bestuurstaal" en worden niet uitgenodigd om verslag uit te brengen.
Hieronder bieden wij 2 rapporten aan.
- Het eerste document is bedoeld voor Chief Information Security Officers (CISO's). Het beschrijft hoe zij cyberrisico's het beste kunnen controleren, meten en rapporteren aan hun Raad van Bestuur.
- Het tweede document is bedoeld voor de Raden van Bestuur zelf. Het is een aanvulling op het eerste document.