Bijna vijf jaar geleden, schreef ik kort na elkaar twee opiniebijdragen over de wijze waarop mensen en organisaties met risico’s omgaan. In één van die opiniebijdragen stel ik onder andere dat de zogeheten risico regelreflex wat mij betreft niet de enige manier is om met risico’s om te gaan. Immers, het sturen op gedrag vanuit interne structuren is naar mijn mening veel effectiever dan deze organisaties te overspoelen met nieuwe regels en wetten. Vijf jaar later is dat in mijn ogen nog steeds zo, zeker als dat vertaald wordt naar het vakgebied van cybersecurity en de tsunami aan cyberaanvallen waar organisaties en de maatschappij momenteel mee te kampen hebben. Zijn meer wetten en regels de oplossing om cyberrisico’s te beheersen en cyberaanvallen te voorkomen?

De impact van nieuwe cybersecurity wet- en regelgeving

Het vakgebied van cybersecurity wordt in mijn ogen nu ook weer overspoeld met nieuwe wet- en regelgeving en verscherpt toezicht. Enkele voorbeelden zijn de Europese NIS2-regelgeving, die in Nederland wordt omgezet naar de Cyberbeveiligingswet en de DORA, die vooral op de financiële sector van toepassing is. Ter illustratie, NOREA, de beroepsorganisatie van IT-auditors, bracht begin 2024 een onepager uit over bestaande en nieuwe relevante Europese wetgeving in het kader van cybersecurity. Dit overzicht telt 20 wetten. Meer regels, meer toezicht.

Nog steeds actueel is, en misschien ook wel meer, is dat mensen en organisaties veel meer moeten sturen op hun eigen gedrag en de valkuilen die daarbij aan de orde zijn. Dat uitdijende oerwoud aan regels remt innovatie en leidt tot schijnveiligheid (Van Staveren, 2023), terwijl sturen op gedrag en biases het lerende vermogen van de organisatie bevordert.

De valkuil van overmoed

De grootste valkuil van een mens is overmoed (Kahneman, 2009). De vraag is alleen of we dat moeten ‘bestrijden’ met (meer) regels (en wetten). Natuurlijk, wetten en regels bieden ook structuur, duidelijkheid en houvast en trachten gedragsverandering te bewerkstelligen. Zonder deze wetten en regels wordt het een zooitje. Tegelijkertijd zorgen meer en te veel regels voor een beklemmend en averechts effect. Door deze regelbrij, die onder het mom van sanctionering nageleefd moet worden, ontstaat een verstikkend ondernemersklimaat waardoor de focus steeds meer komt te liggen op compliance en veel minder op de waarde creatie van organisaties.

De essentie van regels en controle

De essentie en het fundament van regels en controle (daarop) komt voort uit het negatieve mensbeeld dat we en wet- en regelgevers hebben. Enerzijds gedreven vanuit de huidige tijdsgeest waar het erop lijkt dat we meer en meer naar binnen zijn gekeerd (met behulp van onder andere onze smartphone). En anderzijds dat het erop lijkt dat we steeds meer moeite hebben met onzekerheid en angst. Dat laatste is dan een voedingsbodem voor meer regels en wetten, overheden en regelgevers proberen (vaak tevergeefs) die onzekerheid en angst te beteugelen.

En zeg nu eerlijk? Geloven we nu echt dat door al die wetten en regels (ook die nog onderweg zijn) dat we beter in staat zijn om met cyberrisico’s om te gaan? Zouden we niet veel meer de focus moeten leggen op hoe we omgaan met die onzekerheid en met die angst?

Verwachten van het onverwachte

Vertalen we bovenstaande naar cybersecurity dan blijkt dat mensen en organisaties nog steeds ingericht zijn om cyberaanvallen te voorkomen. Doet een cyberaanval zich eenmaal voor dan slaat de paniek toe. Ga daarom als organisatie ook altijd uit van de invalshoek ‘Assume breach’. Oftewel, verwacht het onverwachte (NCTV, 2023). En ja, dat is ontzettend moeilijk, want mensen hebben nu eenmaal een natuurlijke afkeer van verlies (verliesaversie).

Daarnaast moeten we accepteren dat wij als mensen feilbaar zijn, fouten maken en ons brein vuistregels toepast. Drukken we dat de kop in, dan verdwijnt de spontaniteit en innovativiteit. Leer daarom binnen organisaties, maar ook bij wet- en regelgevers omgaan met biases. Train organisaties daarin, organiseer effectief tegenspraak in organisaties en maak group decision making werkelijk zinvol (Larrick, 2004). Accepteer dus imperfecties.

Een oproep aan wet- en regelgevers

Mijn oproep is dan ook veel meer te sturen op een governance en organisatiecultuur die zelfsturend en zelflerend is. Tevens zal het omgaan met cyberrisico’s en cybersecurity meer integraal en meer geïntegreerd binnen organisaties moeten plaatsvinden. Niet alleen de focus gericht op preventie, maar juist ook op detectie en response. En vervolgens binnen deze domeinen niet alleen focus op technologische aspecten, maar juist ook op de organisatorische en gedragsaspecten.

Mijn oproep aan wet- en regelgevers is vervolgens om meer los te laten, mensen en organisaties meer vertrouwen te geven om het cybersecurity vraagstuk intern op te lossen. Tegelijkertijd begrijp ik dat dit een fundamentele omwenteling van het mensbeeld betekent van beleidsmakers en beleidsbepalers (FD, 2024). En de vraag is of zij daartoe bereid zijn.