Nieuws

Cybersecurity is definitief een bestuurszaak geworden

Een dag op de European Resilience Summit, tussen Microsoft, Deloitte, Capgemini en de publieke sector - en overal hetzelfde signaal: security hoort aan de bestuurstafel.

24 juni 2026
5 min lezen

Soms voel je op een event dat een markt fundamenteel aan het verschuiven is. Dat overkwam me op de European Resilience Summit, waar ik sprak met mensen van Microsoft, Deloitte, Capgemini, Fujitsu en de publieke sector. Een thema kwam steeds terug: cybersecurity is geen IT-vraagstuk meer, maar een verantwoordelijkheid van het bestuur.

Soms bezoek je een event waar nieuwe technologie centraal staat. En soms bezoek je een event waar je voelt dat een markt fundamenteel aan het veranderen is. Dat laatste ervoer ik tijdens de European Resilience Summit.

Gedurende de dag sprak ik met vertegenwoordigers van organisaties als Microsoft, Deloitte, Capgemini, Fujitsu en diverse partijen uit de publieke sector. De gesprekken liepen uiteen van AI tot digitale infrastructuur en geopolitiek, maar een thema kwam steeds terug: cybersecurity is niet langer een IT-vraagstuk. Het is een bestuursverantwoordelijkheid geworden.

De nieuwe realiteit van NIS2 en de Cyberbeveiligingswet

Veel organisaties kennen NIS2 inmiddels. Toch merkte ik in de gesprekken dat de impact nog vaak wordt onderschat. De Nederlandse Cyberbeveiligingswet, de nationale vertaling van NIS2, verschuift de verantwoordelijkheid nadrukkelijk naar het bestuur.

Bestuurders moeten straks niet alleen maatregelen goedkeuren. Ze moeten ook kunnen aantonen dat ze toezicht houden op de uitvoering en genoeg kennis hebben om de juiste beslissingen te nemen. Dat verandert het speelveld fundamenteel. Waar cybersecurity jarenlang vooral een onderwerp was voor IT-managers en securityspecialisten, komt het nu rechtstreeks op de agenda van de bestuurstafel.

Drie vragen die elke bestuurder moet kunnen beantwoorden

Een van de sterkste inzichten van de dag was verrassend eenvoudig. Elke organisatie zou vandaag antwoord moeten kunnen geven op drie vragen:

Vallen wij binnen de scope? Zijn we een essentiële of belangrijke entiteit volgens de wet?
Kunnen we aantonen dat we voldoen? Niet alleen beleid op papier, maar echt bewijs van monitoring, logging, toegangscontrole en risicobeheersing.
Wie is verantwoordelijk? Welke bestuurder draagt uiteindelijk de verantwoordelijkheid en kan daarop worden aangesproken?

Opvallend genoeg zijn dit geen technische vragen. Het zijn bestuurlijke vragen.

Technologie alleen is niet genoeg

Wat ik in veel gesprekken hoorde, is dat organisaties vaak zoeken naar de ene technische oplossing. Maar compliance begint niet bij technologie. Het begint bij inzicht. Je moet weten welke risico's er zijn, welke processen kritisch zijn en waar de kwetsbaarheden zitten. Pas daarna volgt de vraag welke technologie dat beleid ondersteunt.

Tegelijk kunnen organisaties niet wachten tot alle beleidsstukken af zijn. De adoptie van AI, cloud en hybride werken gaat simpelweg te snel. Daarom zien we bij Momentum EMEA twee bewegingen tegelijk ontstaan:

Van beleid naar technologie.
Van technologie naar beleid.

Je ontwikkelt governance en richt tegelijk de technische maatregelen in die risico's meteen verkleinen.

Van compliance naar cyberweerbaarheid

Wat me daarnaast opviel: de meest volwassen organisaties spreken nauwelijks nog over compliance. Zij spreken over weerbaarheid. Cyberweerbaarheid. Compliance is daarbij geen einddoel, maar een gevolg.

Deze organisaties investeren in continue monitoring, Zero Trust-architecturen, multifactor-authenticatie, leveranciersbeoordelingen, audit trails en snelle detectie en respons. Niet omdat de wet dat vraagt, maar omdat hun bedrijfscontinuïteit ervan afhangt.

De rol van Momentum EMEA

In gesprekken krijg ik regelmatig de vraag waar de verantwoordelijkheid van een partner als Momentum begint en eindigt. Dat onderscheid is belangrijk. Wij helpen organisaties met de technische invulling van hun zorgplicht:

Netwerksegmentatie
Zero Trust Network Access (ZTNA)
Multifactor-authenticatie
Continue monitoring en logging
Detectie en respons
Leveranciers- en toegangsbeveiliging
Security en connectiviteit via één geïntegreerd platform

Wat we niet doen, is de bestuurlijke verantwoordelijkheid overnemen. Governance, risicobeleid, de juridische scopebepaling en de verantwoording op bestuursniveau blijven bij de organisatie zelf. Maar we helpen wel om de technische basis aantoonbaar op orde te brengen.

Mijn belangrijkste conclusie

Cybersecurity verschuift van de serverruimte naar de bestuurskamer. Niet omdat technologie minder belangrijk wordt, maar juist omdat ze steeds belangrijker wordt.

Organisaties die vandaag investeren in inzicht, governance en technische weerbaarheid bouwen aan continuïteit voor morgen. Want uiteindelijk gaat weerbaarheid niet over voldoen aan een wet. Het gaat over de vraag of jouw organisatie morgen nog veilig kan werken als er vandaag iets gebeurt. En dat is een verantwoordelijkheid die inmiddels iedereen aan de bestuurstafel raakt.

Over de auteur

Frank Zoon

Strategic Development Manager EMEA, Momentum EMEA

Frank is Strategic Development Manager EMEA bij Momentum EMEA. Hij volgt de ontwikkelingen rond cyberweerbaarheid, NIS2 en governance op de voet en vertaalt ze naar wat ze concreet betekenen voor organisaties in EMEA.

FAQ

Veelgestelde vragen

Wat veranderde er volgens de European Resilience Summit aan cybersecurity?

De rode draad was dat cybersecurity geen IT-vraagstuk meer is, maar een verantwoordelijkheid van het bestuur. Onder NIS2 en de Cyberbeveiligingswet moeten bestuurders niet alleen maatregelen goedkeuren, maar ook aantoonbaar toezicht houden en voldoende kennis hebben om de juiste beslissingen te nemen.

Welke drie vragen zou elke bestuurder moeten kunnen beantwoorden?

1) Vallen wij binnen de scope - zijn we een essentiële of belangrijke entiteit? 2) Kunnen we aantonen dat we voldoen, met echt bewijs van monitoring, logging, toegangscontrole en risicobeheersing? 3) Wie draagt uiteindelijk de verantwoordelijkheid en kan daarop worden aangesproken?

Waar helpt Momentum EMEA wel en niet bij?

Momentum helpt met de technische invulling van de zorgplicht: netwerksegmentatie, ZTNA, multifactor-authenticatie, monitoring, detectie en respons via één geïntegreerd platform. Governance, risicobeleid en de bestuurlijke verantwoording blijven bij de organisatie zelf.

Kennisbank

Lees meer

Nieuws 4 min lezen

Momentum EMEA: eNPS van +79 en Great Place To Work-certificering

Connect 3 min lezen

Onze Global Onsite Support Engineer voor jou aan het werk

Nieuws 4 min lezen

Catopia: AI is een nieuwe ingang voor cyberaanvallen

Bekijk meer artikelen

Plan een gesprek

Van inzicht naar weerbaarheid

Wilt u weten hoe Momentum EMEA de technische basis onder uw zorgplicht aantoonbaar op orde brengt - van ZTNA en segmentatie tot continue monitoring en respons? Plan een gesprek, dan laten we zien hoe dat er in de praktijk uitziet.