Figuur 9. D iagram van kosten om risico’s aan te pakken. Door risiconiveau ‘a’ te accepteren over risiconiveau ‘b’ kan budget worden gealloceerd aan maatregelen die de cyberweerbaarheid vergroten (bewerkt van Bostick, Connelly, Lambert, & Linkov, 2018). Investeringen in cyberweerbaarheid brengen kosten met zich mee die zich veelal niet direct uitbetalen in extra systeemfunctionaliteit. Dit heeft een nadelig effect op de efficiëntie van het systeem op de korte termijn. Door de hoge mate van (1) onzekerheid op het zich voordoen van incidenten die (2) samenhangt met veelal onbekende dreigingen en (3) door onzekerheid over de terugverdientijd van de investering blijven noodzakelijke investeringen in cyberweerbaarheid regelmatig uit. De dreigingen liggen veelal op de lange termijn ver buiten de aanstellings- of ambtstermijn van management of bestuur. Wat ook meespeelt in de besluitvorming rondom investeringen in cyberweerbaarheid is de hang naar efficiëntie bij bedrijven. Principes als just-in-time en outsourcing zorgen voor verbeterde efficiëntie, maar gaan vaak ten koste van de cyberweerbaarheid (Stratix, 2024). Het doen van investeringen kan bovendien een nadelig effect hebben op de concurrentiepositie. Als concurrenten niet investeren in cyberweerbaarheid dan hebben die partijen, op de korte termijn althans, een concurrentievoordeel. Cyberweerbaarheid gaat niet zonder slag of stoot 39
RkJQdWJsaXNoZXIy ODY1MjQ=