De scoring resulteert in een matrix waarin iedere cel een gemiddelde score bevat die de weerbaarheid van een systeem meet (Nederveen, Hoorens, Frinking, & Van Soest, 2024, p.45). Een interessante vraag zou zijn of deze methode ook geschikt is voor een jaarlijkse meting van de cyberweerbaarheid. Bepalen van het doel Het CSBN 2021 kopt ‘cyberaanvallen tasten zenuwstelsel maatschappij aan’ en stelt dat cyberweerbaarheid in onze maatschappij nog onvoldoende is, waarbij een groot verschil tussen bedrijven wordt geconstateerd in de mate hiervan (NCTV, 2021). Het CSBN spreekt in dit verband over een ‘cyberweerbaarheidskloof’. Ook recente versies van het CSBN bevestigen dit beeld. Het CSBN uit 2023 stelt bijvoorbeeld: Het CSBN uit 2023 constateert daarbij dat ondanks beste bedoelingen deze ‘achterblijvers’ niet altijd actie ondernemen in het verhogen van hun huidige cyberweerbaarheidsniveau naar een optimaal niveau, passend bij het risicoprofiel van het bedrijf. De CSR stelt in de hierboven genoemde beleidsreactie dat vooral in het mkb relatief veel achterblijvers zijn. Deloitte (2024, p. 12) beschrijft de cyberweerbaarheidskloof aan de hand van het huidige cyberweerbaarheidsniveau versus het optimale cyberweerbaarheidsniveau van een bedrijf (zie figuur 10). De huidige cyberweerbaarheid van een bedrijf is het vertrekpunt. De optimale cyberweerbaarheid is het beoogde doel dat nodig is om vastgestelde risico’s afdoende te mitigeren en digitaal weerbaar te zijn. Het totaalpakket aan risico’s (het risicoprofiel) wordt onder andere bepaald door de aard van een bedrijf, de sector en de keten waarin het actief is, de digitale infrastructuur, de gevoeligheid van data en het dreigingslandschap. Het optimale cyberweerbaarheidsniveau is dus afhankelijk van het risicoprofiel, en verschilt daarom ook per bedrijf. Bedrijven waarbij het huidige niveau van cyberweerbaarheid ook het optimale niveau van cyberweerbaarheid betreft (of daar heel dichtbij zit) hebben hun cyberrisico’s onder controle, terwijl er ook bedrijven zijn waarbij het huidige cyberweerbaarheidsniveau ver achterblijft bij het optimale niveau. De cyberweerbaarheidsopgave ‘Er gaapt een groeiende kloof tussen organisaties die de cyberveiligheid op orde hebben en organisaties die dat niet hebben (NCTV, 2023a; zie ook de NLCS 2022-2028 p.13).’ 43
RkJQdWJsaXNoZXIy ODY1MjQ=