Goed bestuur gaat verder dan financiële transparantie en morele integriteit. Volgens het Burgerlijk Wetboek (art. 2:8 en 2:9 BW) rust op bestuurders een plicht tot zorgvuldige en behoorlijke taakvervulling, waaronder effectieve risicobeheersing. In de praktijk betekent dit óók: cyberrisicobeheer. Digitale dreigingen raken immers niet alleen systemen, maar ook werknemers, klanten en de maatschappelijke omgeving.

De Nederlandse Corporate Governance Code (2025, update van 2022) benadrukt dat organisaties moeten rapporteren over de effectiviteit van hun interne risicobeheersings- en controlesystemen, inclusief informatiebeveiliging. In de zorg bevestigt de Governancecode Zorg (2022) dat de raad van bestuur verantwoordelijk is voor het beheersen van informatie- en organisatierisico’s. Daarnaast verplicht de AVG (art. 32) tot passende technische en organisatorische beveiligingsmaatregelen. Een datalek of ransomware-aanval kan leiden tot aanzienlijke operationele en reputatieschade en bij onbehoorlijke taakvervulling ook tot bestuursaansprakelijkheid.

Om dit risico beheersbaar te maken, integreren steeds meer organisaties cybersecurity in hun governanceproces. Amitron’s Security Gap Analyse brengt beleidsmatige, technische en organisatorische tekortkomingen in kaart langs kaders als NIS2 (EU), ISO 27001 en BIO, en levert een concreet plan van aanpak met prioriteiten, budget en tijdlijn. Let op: de Nederlandse implementatie van NIS2 (de Cyberbeveiligingswet) bevindt zich nog in behandeling.

Vervolgens zorgt Managed XDR voor continue detectie en respons over de gehele infrastructuur. Daarmee wordt “in control zijn” ook technisch ingevuld: dreigingen worden 24/7 gedetecteerd, onderzocht en waar mogelijk geautomatiseerd ingedamd, met menselijke triage voor complexe gevallen.
Conclusie: Cybersecurity is geen IT-project, maar een kerntaak van bestuur en toezicht.