Na drie jaar is CISODAY2026 een vast onderdeel geworden op de Nederlandse cybersecuritykalender. Een flink aandeel vertegenwoordigers van overheden, vakorganisaties en non-profits zorgt voor een stevig fundament. CISO’s van grote, vaak internationale bedrijven komen hun kennis delen. En partners krijgen nieuwe inzichten in de securitypraktijk van zeer uiteenlopende organisaties. Maar bezoekers komen vooral ook voor het community-gevoel.
Bij de start van het evenement werd de voorzitter van het CISO Platform Nederland, Dimitri van Zantvliet, gevraagd naar het thema: Ecosystem Resilience. Innige samenwerking is noodzakelijk in een tijd waarin de time-to-exploit wegens de inzet van AI door aanvallers extreem is verkort. Waar drie jaar geleden een tijd van 20 dagen voldeed om zero-day vulnerabilities te patchen, is het nu steeds vaker een kwestie van uren. Daarvoor is een goede triage nodig, anders kom je om in het werk. De inzet van hulpmiddelen ondersteund door AI is daarbij noodzakelijk, maar mensen moeten in the loop blijven. Alleen zo ontkom je aan onnodige stress. Maar daarvoor moeten we sneller worden, en dat kan alleen binnen een ecosysteem van CISO’s en leveranciers die kennis en informatie delen.
Protection level agreement
Voormalig CISO Bart Willemsen, cybersecurity-analist en VP bij Gartner, mocht het spits afbijten. Hij bracht goed en slecht nieuws mee. Uit de laatste State of the CISO job survey van Gartner blijkt dat het budget dat CISO’s te besteden hebben, groeit. Het slechte nieuws is, dat driekwart van de ondervraagden zegt een gebrek aan personeel te hebben. Tel daarbij het al dan niet gecontroleerde gebruik van AI door organisaties op, en de CISO krijgt het niet gemakkelijker.
Daarbij komt dat veel CISO’s zich verantwoordelijk voelen voor veel te veel zaken: product security, AI governance of de complete weerbaarheid van het ecosysteem. Tegelijkertijd ziet Willemsen steeds meer CISO’s die de verwachtingen binnen de organisatie managen via een protection level agreement (PLA). Daarbij zijn impact assessments essentieel: waar moet een organisatie het meeste investeren in beveiliging?
Als conclusie waarschuwde Willemsen nog voor de gevolgen van quantum computing voor het securitydomein. Als je nu nog niet hebt nagedacht over post-quantumcryptografie, ben je te laat, was zijn boodschap.
Eigen verantwoordelijkheid kern van digitale weerbaarheid
Eefje Zents, chief relations officer en directeur digitale weerbaarheid en publiek-private samenwerking bij het NCSC, sprak over het delen van kennis over kwetsbaarheden (CVE’s) en dat dit ons allemaal sterker maakt. Ze maakte een belangrijk onderscheid tussen beveiliging en weerbaarheid: het eerste gaat over patchen, het tweede over de kosten zo hoog mogelijk maken voor iemand die wil binnendringen en deze zo lang mogelijk tegenhouden. Het gaat erom hoe lang we als ecosysteem de vloed van aanvallers tegenhouden.
Ze noemde in die context twee zaken die haar organisatie raken: het werkveld is enorm uitgebreid, van 300 vitale organisaties die het NCSC voorheen moest beschermen naar 2,4 miljoen organisaties en bedrijven nu. De implementatie van de nieuwe Cyberbeveiligingswet is het tweede. Daardoor worden organisaties straks gedwongen om informatie te delen over hun risico’s, kwetsbaarheden, wat zij doen om zich te beschermen, hoe ze omgaan met incidenten en hoe de opvolging ervan is geregeld.
Als voorbeeld noemde ze de recente hack bij Ivanti. In het verleden zou het NCSC de getroffen partij eenvoudig om informatie hebben gevraagd en die hebben gedeeld met de buitenwereld. Tegenwoordig is er eerder sprake van een partnership, zei Zents. Door samen te werken, de integriteit van het getroffen bedrijf te helpen beschermen en de risico’s voor de nationale veiligheid zo veel mogelijk te beperken, is iedereen beter af. De rol van het NCSC verschuift onder de nieuwe wet naar operationeel coördinator, waarbij de organisatie elke keer afweegt of zij haar greep op een situatie moet versterken of juist een probleem uit handen moet geven omdat er iemand anders in het ecosysteem beter gepositioneerd of capabeler is om het op te lossen.
Onderschat de eigen verantwoordelijkheid niet, omdat wat jij voor anderen doet, zij uiteindelijk ook voor jou kunnen doen. Dat is de kern van digitale weerbaarheid, besloot Zents.
Soevereine Defensie-cloud
Sharon van de Beek, CISO bij het Joint IV Commando (JIVC), sprak met Erik Beulen, professor information management aan de Universiteit van Manchester, over wat AI kan bijdragen aan de weerbaarheid van de defensieorganisatie zelf. Er komt een moment aan dat aanvallers meer voordeel uit AI gaan halen, maar overheden en bedrijven hebben tijd nodig om tooling en werkwijzen aan te passen, waarschuwde ze. Compliancy wordt langzamerhand minder belangrijk omdat AI de snelheid verhoogt waarmee kwetsbaarheden worden gevonden. JIVC is daarom gefocust op doorlopend testen van hardware en software, pentesting, red teaming, purple teaming en threat hunting. Dit geeft goede inzichten in de technologie stack en alle zaken die opgelost moeten worden. Deze informatie is waardevol voor het bestuur, dat zo goede beslissingen kan nemen.
Voor wat betreft het bouwen aan een ecosysteem heeft Defensie veel ondersteuning uit de markt nodig, maar het kan zelf ook expertise aandragen. Zo werkt JIVC nu samen met Thales en KPN om een soevereine cloud te bouwen. Door een strategisch partnership kan het de investeringen voor beide partijen op zich nemen. Maar er was durf voor nodig om dit op te zetten, vertelde Van de Beek. Tot slot vertelde ze over de investeringen in post-kwantum cryptografie bij Defensie. Navo-hardware gaat lang mee en het implementeren van post-kwantum algorithmen heeft een hoge prioriteit.
Detectie is kostenpost
Aansluitend sprak LKol Matthijs van der Wel-ter Weel, cyberreservist bij Defensie en part-time CISO, over het afweren van aanvallen gepleegd door (of in opdracht van) een statelijke actor. Hij legde uit dat dit iets anders is dan jezelf verweren tegen een aanvaller die uit financiële motieven handelt, vooral wat betreft detectie en herstel. Statelijke actoren maken veelal gebruik van bestaande kwetsbaarheden, dus bescherming is vooral een kwestie van je basishygiëne op orde hebben.
Detectie is een ander verhaal: waar een financieel gemotiveerde aanvaller graag zo snel mogelijk weer verdwijnt uit een systeem, al is het maar om investeringen zo snel mogelijk terug te verdienen, hebben hackers die werken in opdracht van een natiestaat vooral veel geduld. Ze moeten er daardoor wel heel goed voor zorgen niet te worden gedetecteerd. Voor de aangevallen partij betekent dit meer investeren in detectie, waarvan de kosten wel twee tot vier keer zo hoog kunnen zijn.
Ook herstel kan prijzig zijn. Als er wiperware in het spel is, is de kans groot dat er fysieke toegang tot bare metal nodig is om de operatie te herstellen. Dit, en de voorbereidingen ervoor, kunnen tot hoge kosten leiden. En is er nog wel fysieke verplaatsing van personeel mogelijk als militaire spanningen toenemen? Blijft al het personeel, ook bij leveranciers, wel in Europa? En tot overmaat van ramp wordt schade veroorzaakt door natiestaten door Lloyd’s uitgesloten (van herverzekering).
Cyberreservisten, waarvan er nu 300 zijn en er 150 wachten op toelating, komen bij detectie zeer van pas. Zij ondersteunen ook het NCSC, maar ook andere organisaties naar aanleiding van hulpvragen. En er zijn er nog altijd meer nodig. Geïnteresseerden kunnen zich melden voor een oriënterende online sessie.
Neem verantwoordelijkheid
Marijn van Schoote, managing director bij FERM, een samenwerkingsverband van de Nederlandse zeehavens, kwam vertellen hoe de havenbedrijven gezamenlijk aan hun weerbaarheid werken. Hij schetste een scenario waarin het verkeer rond een haven vastloopt vanwege een IT-probleem ergens in een van de systemen, waardoor toegangspoorten niet functioneren en de overslag van goederen en containers stilvalt. Dit wordt in niet al te lange tijd een probleem voor de hele maatschappij. Daarom is cybersecurity in havens geen technisch of organisatievraagstuk. Het is iets dat binnen het ecosysteem moet worden aangepakt. Maar wie is verantwoordelijk voor dit ecosysteem? Er is vaak geen duidelijk convenant in publiek-private samenwerking, risico-eigenaarschap is verdeeld over verschillende organisaties.
Binnen FERM werken meer dan tachtig organisaties samen aan hun gezamenlijke weerbaarheid. Dat doen ze door informatie te delen, samen oefeningen te houden en door red teaming van kritieke aanvoerketens.
Van Schoote sloot af met drie aanbevelingen. CISO’s moeten verantwoordelijkheid nemen, zelfs als er geen formeel eigenaarschap is. In cyberbeveiliging moet je harde keuzes maken om te beschermen wat echt kritiek is. En CISO’s moeten kunnen wisselen tussen verbindend en richtinggevend leiderschap.
Cyber is mainstream geworden
Dave Maasland, cybersecurity expert en CEO van ESET, werd geïnterviewd door Rob Beijleveld, mede-oprichter van de CISO Community en organisator van CISODAY. Hij zag AI als iets positiefs, omdat het de technologiediscussie naar de massa heeft gebracht. Technologie en cyber zijn mainstream geworden; CISO’s zijn veel zichtbaarder, dus AI heeft de conversatie op een hoger niveau getild.
Gevraagd naar zijn observaties van crisiscommunicatie rond incidenten die publiek worden, zag Maasland een zich steeds herhalend patroon: eerst is er niets aan de hand, dan is er een incident, maar het is niet zo ernstig. Vervolgens is het toch ernstiger dan gedacht, maar de hack was ‘heel geavanceerd’. En in de laatste fase is de boodschap dat er iets fout is gegaan en dat de hack toch niet zo geavanceerd was. Daarom is het heel belangrijk dat een getroffen organisatie een vertrouwd gezicht heeft. Maar omdat communicatiestrategieën vaak gedreven worden door juridische overwegingen, bouwt een organisatie geen vertrouwen op. Daardoor lijkt zij aan de verkeerde kant te staan, terwijl ze óók slachtoffer is.
Wat is de manier om je te beschermen tegen statelijke actoren? Hun werk wordt steeds moeilijker te herkennen, zei Maasland, omdat ze samenwerken met criminele ondernemingen, of omdat hacktisten onder de vlag van staten opereren, of vanwege andere proxies die dit doen. Eigenlijk is het onderscheid tussen de verschillende groepen niet goed meer te maken, en daardoor moeten we een risicogebaseerde benadering cab security kiezen.
Gevraagd naar de positie van de CISO, gaf Maasland aan dat deze sterker is dan ooit, omdat bestuurders oog hebben voor cyber en voor risico’s in het algemeen. Als CISO’s het narratief over risico’s direct met de business weten te verbinden, kunnen zaken wezenlijk veranderen.
Maasland was positief over cyberwetgeving in het algemeen. NIS2 gaat bijvoorbeeld voor een betere baseline zorgen en is risicogebaseerd. Daarom zou het wel eens zo kunnen zijn dat de EU het beter doet dan de VS. Gevraagd naar de soevereiniteitsdiscussie, waarschuwde hij voor een anti-VS-stemming. Een pro-EU-geluid is beter: laten we bouwen aan een betere economie met sterke concurrentie. In de EU zijn we te veel beïnvloed door het dominante geluid uit de VS: Europa is langzaam, zwak en weinig innovatief. Daar kan de soevereiniteitsdiscussie verandering in brengen en daarvan moeten we gebruikmaken.
Overigens toont de Solvinity-zaak het gebrek aan strategische visie en een gebrek aan een duidelijke visie op technologie binnen het kabinet aan, vond Maasland (dit was voordat het nieuws bekend werd dat de minister niet akkoord is met de overname door Kyndryl).
Maasland besloot met de oproep eens wat vaker samen een biertje te drinken. We bevinden ons midden in allerlei enerverende veranderingen die misschien nog jaren kunnen duren. Wanneer het echt tegen gaat zitten, moet je je vrienden kunnen bellen.
Cybervolwassenheid, security-dna en een hard reset
Aansluitend mochten de drie genomineerden voor de CISO of the Year Award hun pitch houden.
Walter van Oostrum schetste de weg naar cybervolwassenheid bij zijn organisatie, het CAK, en gaf CISO’s de boodschap mee samen te werken met de business, het bestuur, partners, in de toeleveringsketens en met hun peers. Stop niet met innoveren, want dat doet de buitenwereld ook niet.
Kay Behnke vertelde de zaal over het baanbrekende werk op het gebied van medicijnen tegen kanker dat Genmab doet. In zes jaar is er een securityorganisatie gebouwd, een ‘gedistribueerd immuunsysteem’ met security officers in de belangrijkste landen. Security is niet technologiegedreven, maar in de bedrijfprocessen geïntegreerd: het zit in het dna.
Wim Sonnemans sprak niet over zijn organisatie, Philips, maar over de noodzaak dat CISO’s moeten loskomen van het traditionele procesgestuurde werken aan cybersecurity, omdat het achterblijft bij de realiteit. Er is een hard reset nodig; CISO’s moeten hyperautomatisering en AI-agents, gebaseerd op eigenaarschap, specifieke training en lifecycle management, gaan inzetten.
Vertel het verhaal, op de juiste manier
Carlo Schreurs, CISO bij FrieslandCampina, focuste op de juiste communicatie, waardoor je verbinding maakt met de board, medewerkers, je team, en partijen in het ecosysteem. En dat deed hij via storytelling. De CISO heeft een impact accelerator nodig: er komt zoveel informatie op ons af en je moet mensen blijven bereiken.
Schreurs deelde het verhaal van een cyberincident in 2021. De fabrikant van de blikjes voor babyvoeding die FrieslandCampina produceert werd slachtoffer van ransomware. Doordat de leverantie van blikken stokte, moest ook de productie bij FrieslandCampina worden gestaakt. Toen de blikjes eenmaal weer werden geleverd, waren de problemen niet voorbij: het bedrijf ging producten niet per container, maar per vliegtuig vervoeren om verloren tijd goed te maken, met alsnog reputatieschade als gevolg.
De crux van het verhaal is dat het bestuur geen actie heeft ondernomen op basis van een cybersecurityrapport over de gevaren voor de voedingsindustrie. Het kwam in beweging door het verhaal dat is verteld over het incident. Het gevolg is dat weerbaarheid onderdeel is geworden van de cyberstrategie en in elk onderdeel van het bedrijf zit ingebakken.
Ecosysteemweerbaarheid hangt niet af van technologie of beleid. Het draait om het verhaal dat je vertelt, zei Schreurs. Want onze hersenen zijn evolutionair gevormd in omgevingen waar verhalen de belangrijkste drager van informatie waren. Belangrijk hierbij is dat je verhaal de juiste reactie oproept. Mensen alleen maar bang maken, zorgt voor vrijkomen van cortisol en adrenaline en daardoor gehoorzamen ze misschien even, maar ze komen niet blijvend in beweging, want je hebt ze nergens van overtuigd. Emotie tonen zorgt voor vrijkomen van dopamine en oxytocine en daardoor krijg je een verbinding met je toehoorder, maar je hebt wel structuur nodig in de vorm van een afgerond verhaal. Verhalen komen overigens niet vanzelf, zei Schreurs, dus leg een verhalenbank aan zodat je deze kunt inzetten op momenten dat het nodig is.
Kwetsbaarheid tonen is een sterkte: toon je littekens en mensen gaan niet meer in de verdediging. Compliance krijg je door controle, maar vertrouwen krijg je door verhalen te vertellen. We zijn allemaal chief information storytelling officers, besloot Schreurs.
Hackshield Cyber Heroes
Luisella ten Pierik, vicevoorzitter van CISO Platform Nederland en CISO bij Stedin, en Emily Jacometti, medeoprichter van Hackshield Cyber Heroes, kondigden de nieuwe samenwerking tussen beide organisaties aan. Ten Pierik vroeg Jacometti naar het verhaal achter Hackshield, dat is geboren uit noodzaak om kinderen, die volgens een recente studie in opdracht van de VN zestig procent van hun tijd overdag online zijn, te leren om daarmee goed om te gaan. Een effectieve manier is om dit te doen via een spel, eveneens Hackshield geheten, waarbij kinderen kunnen leren cyberagent te worden. Want het onderwijs sluit niet aan op de snelle digitale realiteit, en kinderen kunnen vrij eenvoudig ten prooi vallen aan criminelen.
Een bijkomend doel van Hackshield is dat het kinderen interesseert voor een carrière in cybersecurity. Er zijn momenteel 850.000 deelnemers, maar de top-honderd zit over tien jaar in deze zaal, verwachtte Jacometti.
Door hun deelname aan de European Crime Prevention Award werd Hackshield ook over de grens bekend. Het is nu beschikbaar in 8 landen en er staan 36 landen op de wachtlijst. Het platform ontvangt overheidssubsidie en giften uit het bedrijfsleven, waardoor er geen commerciële uitingen nodig zijn en het gratis blijft voor de deelnemers, die ook geen belangrijke gegevens hoeven af te staan. Om de groei te kunnen waarborgen, is financiële ondersteuning echter meer dan welkom.
De meest bescheiden award?
De CISO of the Year Award-ceremonie is een feestje, maar één waar gepaste bescheidenheid troef is: winnaars geven steevast aan dat zij nooit waren gekomen waar ze nu zijn zonder hun teams. De winnaar van dit jaar, Kay Behnke, CISO bij Genmab, was daarop geen uitzondering. En daarmee komen we op een kenmerkende eigenschap: CISO’s en andere verantwoordelijken voor informatiebeveiliging zijn bescheiden mensen, die samenwerking vooropstellen. Niet alleen binnen de eigen organisatie, maar juist ook erbuiten. Op cybersecurity concurreer je niet en zonder team ben je nergens, is de impliciete boodschap.
Daarom was het thema van dit jaar, Ecosystem Resilience, zo treffend. Omdat de CISO niet alleen op een eiland zit, maar eerder op een archipel, bevolkt door al dan niet concurrerende organisaties, peers, leveranciers, vakorganisaties en overheden.
