Cyberrisico in de boardroom: drie observaties op CFO Day

Tijdens CFO Day 2026 viel één ding direct op: CFO’s hoeven niet meer overtuigd te worden dat cybersecurity een bestuursvraagstuk is. Het staat inmiddels structureel in de top drie van bedrijfsrisico’s. Toch bleek tijdens het event dat veel bestuurders nog worstelen met een fundamentele vraag: hoe weet je eigenlijk of je beeld van het cyberrisico klopt? Sander Rood, Strategy Consultant bij mnemonic, deelt zijn reflecties naar aanleiding van de dag.

De deelnemers aan de rondetafelsessie op CFO Day 2026 van Europees cybersecurityspecialist mnemonic brachten een hoog kennisniveau mee. Pentesten, tabletop-oefeningen, supply chain-risico’s en incidentrespons waren bekende begrippen. De vraag was niet óf cyberrisico aandacht verdient, maar hoe je als bestuurder grip houdt op risico’s die steeds complexer worden.

Dat is precies waar NIS2 de discussie naartoe stuurt.

De nieuwe Cyberbeveiligingswet, die de NIS2-richtlijn implementeert, voegt aan technische maatregelen expliciete bestuurlijke verantwoordelijkheid toe. Het bestuur moet niet alleen passende maatregelen treffen, maar ook aantonen dat risico’s worden begrepen, beheerst en worden opgevolgd. Delegeren aan de CISO is geen vervanging voor bestuurlijk eigenaarschap. Bestuurders hoeven geen cybersecurityspecialist te worden, maar moeten wel de juiste vragen stellen.

1. Van rapportage naar inzicht
Tijdens de sessie bleek dat CFO’s veel informatie ontvangen over cybersecurity, maar niet zeker weten of zij daarmee inzicht krijgen.

In veel organisaties wordt gerapporteerd via dashboards, KPI’s en stoplichten. Die geven een beeld, maar kunnen schijnzekerheid creëren. Een groen dashboard zegt immers weinig over onbekende risico’s, niet-gevalideerde aannames of dreigingen buiten het zicht van de organisatie.

Een andere spreker op het event, Bjarte Bogsnes, gebruikte een metafoor die ook toepasbaar is op cybersecurity: een stoplicht denkt voor je na, maar bij een rotonde moet je zelf meedenken. Een rotonde dwingt je om voortdurend te kijken, anticiperen en afwegingen te maken. Dat is ook wat NIS2 van bestuurders vraagt.

Dat sluit aan bij hoe bestuurders naar andere risicodomeinen kijken. In finance vertrouwt niemand uitsluitend op interne rapportages. Er zijn externe accountants, audits en onafhankelijke controles. Voor cybersecurity zou hetzelfde principe moeten gelden. Organisaties die hun cyberweerbaarheid serieus nemen, combineren interne inzichten met externe validatie, bijvoorbeeld via pentesten, security-assessments of crisissimulaties.

Voor CFO’s betekent dit dat de vraag niet alleen moet zijn: “Wat rapporteert de CISO?”, maar ook: “Hoe weten we dat dit beeld volledig en juist is?”

2. De CFO-CISO-relatie wordt strategischer
Een tweede terugkerend thema was de relatie tussen CFO en CISO.

Deelnemers benadrukten dat zij regelmatig met hun CISO spreken. Niet omdat zij technische details willen, maar omdat cyberrisico direct raakt aan continuïteit, investeringen, compliance en reputatie.

De CISO blijft de primaire bron van expertise. Tegelijkertijd groeit de behoefte aan een dialoog die verder gaat dan operationele security-updates.

Onder NIS2 wordt die relatie belangrijker. Bestuurders blijven eindverantwoordelijk voor beslissingen. Dat vraagt om een gesprek over risicoacceptatie, prioriteiten en scenario’s. Welke risico’s accepteren we bewust? Welke niet? Waar investeren we wel of juist niet in? En hoe onderbouwen we die keuzes?

Cybersecurity wordt daarmee minder een technisch domein en meer een governancevraagstuk.

3. AI vergroot de uitdaging
Een terugkerend onderwerp tijdens de roundtable was AI. Niet omdat CFO’s twijfelen aan de waarde ervan, maar omdat AI nieuwe risico’s introduceert waarvoor veel organisaties nog geen volwassen governance hebben ingericht.
De zorgen liepen uiteen. Sommige deelnemers wezen op de manier waarop AI de aanvalskant versnelt. Wat een gerichte aanvaller voorheen een week of een maand kostte, kost nu een fractie van die tijd. AI-modellen kunnen inmiddels autonoom kwetsbaarheden vinden, een capaciteit die in de verkeerde handen het tempo van aanvallen fundamenteel verandert.

Minstens zo vaak ging het echter over een risico dichter bij huis: het ontbreken van inzicht in het AI-gebruik. Welke AI-tools gebruiken medewerkers? Welke data wordt daarin verwerkt? En hoe voorkom je dat vertrouwelijke informatie onbedoeld terechtkomt in externe AI-platformen?
Dat raakt aan een fenomeen dat steeds vaker wordt aangeduid als shadow AI. Net zoals organisaties jarenlang worstelden met shadow IT, zien veel bestuurders nu dat medewerkers zelfstandig AI-oplossingen inzetten zonder dat daar voldoende zicht of governance op bestaat. Niet uit onwil, maar omdat de technologie toegankelijk is en directe productiviteitswinst oplevert.

Daarmee ontstaat een dilemma. Organisaties kunnen proberen AI-gebruik te beperken of verbieden, maar in de praktijk leidt dit tot minder zicht in plaats van meer controle. De uitdaging is daarom niet om AI tegen te houden, maar om het veilig te maken.
Dat begint met inzicht. Welke toepassingen worden gebruikt? Welke data wordt gedeeld? Welke processen worden ondersteund door AI? En waar kunnen fouten of ongewenste uitkomsten daadwerkelijk impact hebben op de organisatie?
Voor bestuurders verschuift de discussie daarmee van technologie naar governance. Niet: mogen we deze tool gebruiken? Maar: voor welke toepassingen accepteren we het gebruik van AI, onder welke voorwaarden en met welke controlemechanismen?

Ook regelgeving beweegt die kant op. Zowel de AI Act als bestaande wet- en regelgeving leggen nadruk op menselijke verantwoordelijkheid en toezicht. Uiteindelijk blijft er altijd een mens verantwoordelijk voor de uitkomst van een proces of beslissing.
Juist daarom raakt AI-governance direct aan bestuurders. Niet omdat zij de technologie tot in detail moeten begrijpen, maar omdat zij moeten kunnen beoordelen waar de organisatie waarde creëert met AI, welke risico’s daarbij worden geaccepteerd en hoe die keuzes worden onderbouwd.

Van ‘controls’ naar ‘in control’
De rode draad tijdens de sessie was uiteindelijk niet compliance, technologie of zelfs cybersecurity. Het ging over vertrouwen.

Kunnen bestuurders vertrouwen op de informatie die zij ontvangen? Kunnen zij vertrouwen op de weerbaarheid van hun organisatie? Kunnen zij vertrouwen op de uitkomsten van steeds complexere digitale processen?

NIS2 geeft daar richting aan. Niet door te eisen dat organisaties ieder risico uitsluiten, maar door te verlangen dat bestuurders risico’s begrijpen, expliciet afwegen, hun keuzes kunnen verantwoorden, en toetsen of er daadwerkelijk opvolging aan gegeven is.

Dat vraagt om meer dan dashboards en periodieke rapportages. Het vraagt om een sterke relatie tussen CFO en CISO, onafhankelijke validatie van aannames, regelmatige scenario-oefeningen en duidelijke governance rondom nieuwe technologieën zoals AI.

De CFO hoeft geen cybersecurityspecialist te worden. Wel een bestuurder die voldoende inzicht heeft om juiste afwegingen te maken en voldoende tegenspraak organiseert om die afwegingen te toetsen. Want in een wereld waarin cyberrisico’s, AI en digitale afhankelijkheden toenemen, wordt ‘in control’ niet bepaald door hoeveel maatregelen zijn ingevoerd. Het wordt bepaald door de mate waarin een organisatie ziet welke risico’s er zijn, begrijpt welke zij accepteert, kan toetsen of dat beeld klopt en die afwegingen kan verantwoorden.

Sander Rood, Strategy Consultant bij mnemonic