Waarom raden van bestuur anders naar cybersecurity moeten kijken

In dit artikel:

Katleen Seeuws, vice-president standards & guidance bij The Institute of Internal Auditors (IIA) Global, geeft op 20 mei 2026 een keynote op Cybersec Europe (Brussels Expo, main stage, 15:35) over hoe interne audit cyberrisico’s kan vertalen naar bestuurlijk vertrouwen. Met een achtergrond in governance, interne controle en risicogerichte audits stelt ze dat cybersecurity niet langer een puur IT‑vraagstuk is maar een board‑level governance‑en risikovraagstuk.

Seeuws wijst op veelvoorkomende problemen: gesegmenteerde verantwoordelijkheden tussen IT, risicomanagement, compliance en business zorgen voor onduidelijke eigenaarschap, gebrekkige escalatiepaden en rapportages die te technisch of te vaag zijn voor raden van bestuur en auditcommissies. IIA’s Risk in Focus 2026 bevestigt dat cybersecurity wereldwijd het belangrijkste auditrisico blijft, mede door complexere digitale ecosystemen, toenemende derde‑partijafhankelijkheden en nieuwe EU‑regels zoals NIS2, DORA en de Data Act.

Haar oplossing is een gestandaardiseerde, risk‑based aanpak waarbij interne audit beoordeelt of cybergovernance effectief is: zijn risico’s helder, zijn verantwoordelijkheden toegewezen en zijn controles gericht op wat echt kritisch is voor de organisatie. Centraal staat het Three Lines‑model (drie verdedigingslinies) om rollen en rapportagelijnen te verduidelijken. Ook introduceert ze het Cybersecurity Topical Requirement binnen het IIA‑kader als hulpmiddel om maturiteit te verhogen en consistenter te rapporteren.

Seeuws benadrukt dat organisaties moeten inzetten op digitale veerkracht, incidentvoorbereiding en afdelingsoverschrijdende samenwerking; succes meet je volgens haar aan het vermogen om risico’s te anticiperen, snel te herstellen en helder te rapporteren aan bestuurders. Interne audit fungeert zo als brug tussen technische beveiliging en strategische besluitvorming.