Rob Kramer (CFO bij Mr. Marine Group): “Een schip dat stil ligt kost minimaal 30.000 euro per dag.”

Als een maritiem bedrijf digitaal platligt, liggen schepen stil in de haven. Met kosten die snel oplopen is cybersecurity dan geen abstract IT-vraagstuk meer, maar een strategisch risico dat direct de bedrijfscontinuïteit raakt.

In een tijd waarin geopolitieke spanningen toenemen en Nederlandse bedrijven steeds kwetsbaarder worden voor digitale aanvallen, gaan twee experts met elkaar in gesprek die dagelijks bezig zijn met weerbaarheid – zowel financieel, digitaal als mentaal. Talitha Papelard, General Manager bij cybersecurity dienstverlener Northwave Cyber Security, en Rob Kramer, CFO bij maritiem dienstverlener Mr. Marine Group, delen hun inzichten over hoe je een organisatie weerbaar maakt.

Van commandopost naar bestuurskamer
“Ik merkte dat ik zingeving miste in mijn werk. Ik werk vooral met en in abstracties van de werkelijkheid”, vertelt Kramer over zijn motivatie om naast zijn CFO-functie vier jaar als reservist bij de Koninklijke Marine te dienen. Via zijn rugbyclub kwam hij in contact met veteranen, wat hem inspireerde.
Die militaire ervaring bleek onverwacht waardevol in zijn rol als financieel bestuurder. “Bij de Nationale Reserve leer je snel schakelen, helder communiceren en onder druk presteren. Er moet uitgevoerd worden. Als CFO van een buy and build moet je niet alleen in de bestuurskamer zitten, maar ook met je voeten in de modder staan om mee te werken als de operatie onder druk staat .”

“Als een leverancier door een hack getroffen wordt en niet kan leveren, heeft dat mogelijk gevolgen voor jouw bedrijfscontinuïteit.”

Digitale dreigingen in maritieme context
De Mr. Marine Group, wereldwijd actief met zo’n 100 medewerkers, plus een uitgebreid netwerk van onderaannemers, is gespecialiseerd in het onderhouden en keuren van elektrische installaties op schepen. Hun activiteiten variëren van liftsystemen tot ballastwatersystemen – die laatste worden steeds belangrijker door internationale milieuwetgeving zoals het MARPOL-verdrag. “Ons ERP-systeem is onze core”, legt Kramer uit. “We verwerken jaarlijks zo’n 4.000 tot 5.000 opdrachten. Als dat platligt, betekent dat direct operationele schade.” Hoewel het bedrijf back-upsystemen heeft, blijft het van kritisch belang om zo snel mogelijk operationeel te zijn.

De keten is zo sterk als de zwakste schakel
Papelard benadrukt dat ketenafhankelijkheid een groeiend probleem is. “Ook als je eigen systemen veilig zijn, kun je in de problemen komen door kwetsbaarheden bij partners”, waarschuwt ze. Kramer knikt instemmend. “Daarom werken we hard aan een ‘spares strategy’ om reserveonderdelen gericht in te kunnen kopen. Je wil niet afhankelijk zijn van één leverancier. Als een leverancier door een hack getroffen wordt en niet kan leveren, heeft dat mogelijk gevolgen voor jouw bedrijfscontinuïteit.”

“Niemand wil openlijk praten over kwetsbaarheden of fouten, uit angst voor reputatieschade. Maar juist daardoor zie je niet hoe breed en groot de cyberdreiging is.”

 De nagebootste crisis
“Vroeger heb ik gebokst”, vertelt Kramer. “Daar leer je niet alleen hoe je moet slaan, maar vooral hoe je omgaat met dreiging en spanning die samen gaan met het gevecht. Onder druk nemen je lagere hersendelen het over: je verstijft, of slaat wild om je heen.” Het is een treffende metafoor voor hoe organisaties reageren op een cybercrisis. “Je moet juist je hoofd koel houden en goede beslissingen nemen. Militairen leren dat ook: improviseren, aanpassen en doorgaan.”
Volgens Kramer is regelmatig oefenen essentieel. “Simulaties, realistische IT-brandoefeningen waarin ook emotie meespeelt – hoe reageer je als je écht onder druk staat of angstig bent? Alleen door te oefenen ben je voorbereid.” En die voorbereiding is cruciaal, want Kramer heeft zelf ervaren wat een cyberincident betekent: “Het is ons enkele jaren geleden overkomen. Vrijwel elk bedrijf krijgt hiermee te maken, maar weinigen praten erover.”

“We bezoeken wekelijks bedrijven die door cyberaanvallen zijn platgelegd”, reageert Papelard. “Sommige bedrijven kiezen ervoor om hierover transparant te zijn omdat ze willen voorkomen dat andere bedrijven hetzelfde overkomt. Anderen geven er de voorkeur aan om dergelijke incidenten vertrouwelijk te houden.”
De beslissing om een cyberaanval openbaar te maken brengt complexe overwegingen met zich mee die verder gaan dan eenvoudige transparantie. Bedrijven moeten een balans vinden tussen hun wens om anderen te helpen en mogelijke reputatieschade, concurrentienadelen, aanhoudende security problemen en wettelijke verplichtingen. Hoewel het delen van informatie de collectieve cyberbeveiligingsmaatregelen kan versterken en het vertrouwen van belanghebbenden kan opbouwen, kunnen hierdoor ook kwetsbaarheden worden blootgelegd tijdens gevoelige herstelperiodes.

“We werken er bij Mr. Marine aan om een open cultuur te creëren.”

Cultuur van openheid
Een van de grootste hindernissen voor effectieve cyberbeveiliging is de cultuur rond incidenten. “Er rust een taboe op het toegeven van zwakte”, zegt Kramer. “Niemand wil openlijk praten over kwetsbaarheden of fouten, uit angst voor reputatieschade. Maar juist daardoor zie je niet hoe breed en groot de cyberdreiging is.”

Deze cultuuromslag is volgens beide experts cruciaal. “Als iemand per ongeluk op een phishinglink klikt, moet diegene dat gewoon kunnen melden”, benadrukt Kramer. “We werken er bij Mr. Marine aan om een open cultuur te creëren. Binnen ons bedrijf wordt er bijvoorbeeld snel gecommuniceerd wanneer er verdachte e-mails worden gedetecteerd, zodat iedereen direct op de hoogte is. Snelle detectie, waardoor snelle respons is cruciaal om een incident te voorkomen of de impact te minimaliseren”

“Door strengere veiligheidsmaatregelen wordt niet alleen de weerbaarheid van bedrijven verhoogd, maar wordt Europa als geheel ook sterker op het gebied van cybersecurity.”

Verantwoordelijkheid op boardniveau
De verantwoordelijkheid voor cybersecurity ligt bij de Mr. Marine Group duidelijk op bestuursniveau. “De COO is verantwoordelijk”, zegt Kramer. “ICT is uitvoerend verantwoordelijk, maar het onderwerp ligt nadrukkelijk bij de board. Je kunt dit niet alleen bij één afdeling neerleggen.” Dit sluit aan bij de trend die Papelard signaleert in haar werk bij Northwave. “We zien dat cybersecurity steeds vaker een boardroomtopic is. Vijf jaar geleden was het nog ‘iets van IT’, nu begrijpen bestuurders dat hun bedrijfscontinuïteit ervan afhangt.” Strengere Europese regelgeving moeten we niet als een uitdaging zien maar als een kans, vervolgt ze. “De Network and Information Security Directive (NIS2) is een nieuwe richtlijn die vitale organisaties beter beschermt tegen cyberdreigingen. Door strengere veiligheidsmaatregelen wordt niet alleen de weerbaarheid van bedrijven verhoogd, maar wordt Europa als geheel ook sterker op het gebied van cybersecurity.”

Wendbaar blijven in turbulente tijden
“Wendbaarheid helpt om aanvallen te ontwijken en in alle rust een tegenstrategie op te zetten”, zegt Kramer, terugkomend op zijn bokservaring. In een tijd waarin geopolitieke spanningen, handelsoorlogen en cyberdreigingen toenemen, is deze mentale veerkracht volgens hem minstens zo belangrijk als technische maatregelen. De lessen die hij meeneemt uit zijn militaire achtergrond en bokservaring passen naadloos bij de uitdagingen die moderne CFO’s hebben in het digitale tijdperk. “Je moet jezelf blootstellen aan risico’s – in een veilige setting. Pas dan ben je echt voorbereid.”

CFO Day 2025: Ontmoet de financiële top op 28 mei in Noordwijk

Als CFO sta je continu voor uitdagingen: economische onzekerheid, nieuwe regelgeving en disruptieve technologieën. Tijdens CFO Day 2025: From Obstacle to Opportunity verkennen we hoe obstakels juist aanjagers kunnen zijn van innovatie, efficiëntie en transformatie – via visionaire keynotes, praktijkcases en interactieve sessies. Beleef de 24e CFO Day samen met 500 financiële leiders op 28 mei in Grand Hotel Huis ter Duin.

Ja, ik kom naar CFO Day 2025