Cybersecurity is allang geen exclusief IT-vraagstuk meer. Voor bestuurders, CEO’s, CFO’s en andere senior leiders is de vraag niet langer of een organisatie iedere aanval kan voorkomen. De echte vraag is of de organisatie een aanval kan doorstaan.

Voor Tobias Jaeger, expert in risicomanagement en organisatorische veerkracht en oprichter en CEO van Falcone International, markeert dit een fundamentele verschuiving in bestuurlijke verantwoordelijkheid. Cyberrisico gaat inmiddels over continuïteit, klantvertrouwen, financiële impact, toezicht, aansprakelijkheid en het vermogen om onder druk scherpe beslissingen te nemen. In dit interview gaat Jaeger in op de verschuiving van preventie naar veerkracht, de toenemende bestuurlijke verantwoordelijkheid onder NIS2 en DORA, en de menselijke discipline die nodig is om effectief leiding te geven tijdens cyberincidenten.

Lees ook op CFO.nl: CFO Day 2026 – ‘Clarity in Chaos’ – Faruk Türkmen (CFO HumanTotalCare): “Finance helpt met zichtbaar maken hoe verschillende perspectieven elkaar raken.”

Cyberrisico ligt nu op het bureau van het bestuur
Tobias Jaeger ziet de urgentie helder. “We hebben een kantelpunt bereikt waarop cyber geen afdeling meer is, maar de business zelf”, zegt hij. “Als je systemen platliggen, is je omzet waarschijnlijk nul.”
Die operationele realiteit wordt versterkt door veranderende regelgeving. NIS2 en DORA hebben, in zijn woorden, “de inzet fundamenteel veranderd door persoonlijke verantwoordelijkheid te introduceren.”

“In het verleden kon een bestuurder zijn schouders ophalen en zeggen: ‘Praat maar met de CISO.’ Vandaag zegt de toezichthouder: ‘Wij praten met u.’ Deze frameworks vragen dat leiderschap niet alleen een budget ‘goedkeurt’, maar actief toezicht houdt op risico’s en het dreigingslandschap begrijpt.”
Dat betekent niet dat iedere bestuurder een technisch specialist moet worden. Maar het betekent wel dat cyberkennis een leiderschapsvereiste wordt. “Het gaat er niet langer om een hack te vermijden, dat is bijna onmogelijk. Het gaat erom dat de organisatie veerkrachtig genoeg is om er één te overleven”, stelt Jaeger. “Als je dat toezicht niet kunt aantonen, komen de juridische en financiële gevolgen direct op het bureau van het bestuur terecht.”

Lees ook op CFO.nl: CFO Day 2026 – ´Clarity in Chaos´ – Peter Ligteringen (CFO Yource): “Ik ga juist aan op complexiteit – daar kun je als CFO echt waarde toevoegen.”

De schijnveiligheid van de ‘Firewall Fallacy’
Wanneer bestuurders en executives denken dat zij cyberrisico onder controle hebben, duikt volgens Jaeger telkens dezelfde gevaarlijke aanname op. “De gevaarlijkste misvatting is de ‘Firewall Fallacy’: het idee dat we ‘veilig’ zijn omdat we miljoenen hebben geïnvesteerd in geavanceerde software. Technologie is slechts zo sterk als de mensen die ermee werken en de processen die haar ondersteunen.”

De diepere blinde vlek ligt vaak buiten de eigen organisatie. Jaeger wijst op kwetsbaarheden in de keten als een van de gebieden waar leiders cyberrisico het vaakst onderschatten. “Executives voelen zich vaak zeker over hun eigen huis, maar vergeten dat ze digitaal ‘getrouwd’ zijn met honderden externe leveranciers. Als een niche-softwareleverancier in je logistieke keten wordt geraakt, kan je hele operatie tot stilstand komen.”
Juist daar kan formeel toezicht een vals gevoel van controle geven. “Leiders hebben vaak zicht op hun interne IT, maar vliegen volledig blind als het gaat om de digitale veerkracht van hun bredere ecosysteem.”

“Als de CEO wacht tot de CISO vertelt of de productielijn moet worden stilgelegd, is de strijd al verloren.”

Become boardroom-fluent in cyber in 2 days

Cyber risk is now a boardroom issue. This hands-on executive program helps senior leaders engage credibly with cybersecurity, IT, risk, compliance, legal, and communications teams. Learn to assess cyber and information risk at executive level, strengthen governance and oversight, and lead effectively through cyber incidents. Explore the program or contact AIF for personal advice.

View dates and details at AIF.nl

Bestuurders moeten eigenaar zijn van de ‘so what?’
In een cybercrisis is technische expertise essentieel. Maar Jaeger is duidelijk over waar de rol van executives begint en eindigt. “Executives moeten niet proberen zelf de technische held te spelen. Je hoeft niet te weten hoe je een server patcht, maar je moet wel verantwoordelijkheid nemen voor de Value-at-Risk en het besluitvormingskader.”

Het onderscheid is cruciaal. “De technische experts zijn eigenaar van de ‘how’: zij stoppen de inbreuk, isoleren het virus en herstellen de data. De executives zijn eigenaar van de ‘so what?’: zij bepalen welke bedrijfsprocessen prioriteit krijgen bij herstel, hoe met de markt wordt gecommuniceerd, wanneer toezichthouders worden geïnformeerd en hoeveel ‘verlies’ de onderneming kan dragen voordat het existentieel wordt.”
Daarom is cyberleiderschap niet alleen een technische respons. “In een crisis heeft het technische team een leider nodig die onder druk beslissingen kan nemen over grote belangen. Als de CEO wacht tot de CISO vertelt of de productielijn moet worden stilgelegd, is de strijd al verloren.”

Lees ook op CFO.nl: CFO Day 2026 – Clarity in Chaos – Robin Pasmans (CFO Kramer Food Family) “Vroeger waren prijzen en kosten relatief stabiel. Dat is compleet veranderd.”

In de ‘Golden Hour’ van een cybercrisis
Jaeger helpt bestuurders om cyber op boardroomniveau te begrijpen en bespreken. Eén oefening zorgt volgens hem vaak voor de grootste verschuiving in perspectief. “Het grootste ‘aha-moment’ ontstaat bijna altijd tijdens onze ‘Golden Hour’-simulatie. Deelnemers ervaren dan zelf hoe het is om in de eerste 60 minuten van een grote, zich ontvouwende cyberinbreuk onder druk beslissingen te moeten nemen.”

Wat veel deelnemers verrast, is niet de technische complexiteit van het incident. Het is de snelheid waarmee onzekerheid de overhand neemt. “Ze realiseren zich snel dat hun grootste probleem niet de code is, maar het informatievacuüm. Ze zien hoe snel interne communicatie uit elkaar valt en hoe moeilijk het is om een ‘goede’ beslissing te nemen met slechts 20 procent van de feiten.”
Voor Jaeger verandert die ervaring het gesprek op bestuurlijk niveau. “Wat ik hoop dat deelnemers anders gaan doen, is vragen: ‘Wat is onze maximaal aanvaardbare periode van verstoring?’ in plaats van alleen: ‘Zijn we veilig?’ Die verschuiving van preventie naar veerkracht is het kenmerk van een volwassen leiderschap.”

“Je kunt de beste encryptie ter wereld hebben, maar als je cultuur ‘snelheid boven verificatie’ beloont wanneer de baas belt, ben je kwetsbaar.”

 

Deepfakes leggen de menselijke kant van cyberrisico bloot
Gevraagd welke ontwikkeling iedere executive eerder zou moeten herkennen, wijst Jaeger op een dreiging die vaak bedrieglijk vertrouwd oogt. “De laatste tijd zien we steeds vaker ‘identity-based social engineering’ op bestuursniveau: aanvallen waarbij AI-gegenereerde stem en video, zoals deepfakes, worden ingezet om normale autorisatieprocessen te omzeilen.”

De les zit volgens hem niet vooral in de technische verfijning. “Wat dit zo leerzaam maakt, is niet de ‘coole’ technologie die hackers gebruiken. Het is hoe gemakkelijk bestaande menselijke processen bezwijken. Een CFO ontvangt een videogesprek van de CEO en maakt miljoenen over. De technologie werkte, maar de governance ontbrak. De simpele regel ‘autoriseer nooit via video zonder een tweede verificatie via een ander kanaal’ bestond niet.”
Die realisatie heeft zijn denken over cyberleiderschap verder aangescherpt. “Je kunt de beste encryptie ter wereld hebben, maar als je cultuur ‘snelheid boven verificatie’ beloont wanneer de baas belt, ben je kwetsbaar.”
Cyberleiderschap gaat volgens Jaeger uiteindelijk over het bouwen van een cultuur waarin “trust but verify” voor iedereen geldt, juist ook voor de C-suite.

Lees ook op CFO.nl: CFO Day 2026 – Clarity in Chaos: Sturen zonder zekerheden