Hoe maak je iedereen verantwoordelijk voor cybersecurity binnen je organisatie?

Cybersecurity is allang niet meer uitsluitend de verantwoordelijkheid van de IT-afdeling. Met een sterke toename van cyberaanvallen en strengere wetgeving, zoals NIS2, DORA en de Cyber Resilience Act, groeit het besef dat iedereen binnen een organisatie moet bijdragen aan digitale veiligheid. “Menselijke fouten zijn een veelvoorkomende oorzaak van cyberincidenten,” zegt Jan Dockx, CTO bij PeopleWare. De uitdaging is duidelijk: hoe betrek je elke medewerker – van developer tot administratief medewerker – actief bij cybersecurity?

Expertise
Development
4 minuten read
15.05.2025
Blog
Cybersecurity

Waarom bewustwording vandaag belangrijker is dan ooit

De noodzaak is er. Volgens het Centrum voor Cybersecurity België werden in februari 80 procent meer incidenten gemeld dan in dezelfde periode in de voorgaande jaren. Dat is deels te verklaren door de nieuwe meldingsplicht, maar het toont vooral aan dat er daadwerkelijk meer aan de hand is. De dreigingen nemen toe, aanvallen worden gesofisticeerder en de impact wordt groter doordat vrijwel elk aspect van onze werking afhankelijk is van digitale systemen.

Tegelijk wordt de regelgeving strenger. De nieuwe Europese wetgevingen leggen de lat hoger, ook op bestuursniveau. NIS2 schrijft expliciet voor dat de verantwoordelijkheid voor cybersecurity start bij de raad van bestuur en zich vervolgens uitstrekt over de volledige organisatie. Elke medewerker moet zich dus bewust zijn van de risico’s en zijn of haar rol daarin begrijpen.

Cybersecurity is een gedeelde taak

Om die verantwoordelijkheid door de hele organisatie te laten doordringen, is het essentieel dat leiders het goede voorbeeld geven. Niet alleen door woorden, maar vooral door hun steun aan concrete initiatieven. Wanneer beveiliging expliciet wordt meegenomen in ieders takenpakket, groeit het besef dat cybersecurity niet optioneel is, maar een integraal deel van het werk.

Regelmatige bewustmaking sessies helpen om die betrokkenheid levendig te houden. Maar nog belangrijker is dat medewerkers weten waar ze terecht kunnen met vragen of meldingen. Een helder aanspreekpunt en laagdrempelige procedures zorgen ervoor dat potentiële risico’s niet onder de radar blijven. 

Security champions 

Jan raadt aan om te werken met ‘security champions’. Geen managers, maar collega’s uit operationele teams – vaak developers – die tijdens dagelijkse stand-ups eenvoudige vragen stellen als: “Is dat wel veilig?” of “Hebben we hierover nagedacht?” Het gaat niet om controleren, maar om bewustzijn te ;: stimuleren op het juiste moment.

Security champions maken beveiliging bespreekbaar, verspreiden kennis op een informele manier en creëren ruimte voor dialoog. In goed werkende programma’s komen deze champions geregeld samen om ervaringen te delen, krijgen ze korte opleidingen over actuele topics en registreren ze risico’s vanuit hun dagelijkse realiteit. 

Denk aan veiligheid vanaf de start

Jan Dockx pleit ook voor het principe van ‘shift left’: security moet vanaf het begin meegenomen worden in analyse en design. Dat geldt niet alleen voor IT-projecten. Ook in niet-technische processen is er winst te boeken.

Zo moeten HR-teams nadenken over hoe ze persoonsgegevens beveiligen, marketing teams bewust kan omgaan met klantdata, en administratieve medewerkers alert blijven voor social engineering. Zelfs beslissingen over nieuwe tools of workflows moeten vooraf getoetst worden op beveiliging implicaties. Die gezamenlijke reflex is wat een organisatie écht weerbaar maakt. En wat als het toch misgaat? 

Een incident is geen kwestie van ‘of’, maar van ‘wanneer’. Daarom zijn organisaties best voorbereid met een helder incident responseplan. “Als er iets misgaat, word ik zenuwachtig, en dan maak ik fouten,” zegt Dockx eerlijk. “Dan heb je een scenario nodig dat je kunt volgen.” Een goed plan zorgt ervoor dat iedereen weet wat te doen, wie te contacteren en welke stappen te nemen. Regelmatige simulaties helpen om die paraatheid te versterken.

Wat te doen bij een cyber incident

Van verplichting naar cultuur

Uiteindelijk gaat het niet enkel om regels of richtlijnen, maar om cultuur. Een organisatie waarin medewerkers zich veilig voelen om fouten toe te geven of vragen te stellen, zal veel sneller reageren op signalen. Trainingen geven helpt. Maar nog belangrijker is een omgeving creëren waar cybersecurity niet als een last maar gezamenlijke zorg wordt ervaren. Leiderschap speelt hierin een sleutelrol, maar ook het erkennen en waarderen van mensen die actief bijdragen aan een veiligere omgeving is essentieel.

“Door korte trainingen en het delen van ervaringen groeit security organisch binnen de community van je organisatie.”

Een gedeelde verantwoordelijkheid maakt het verschil

Cybersecurity is geen technische randzaak meer. Het is een fundamentele bouwsteen van vertrouwen in een digitale samenleving. Alleen door het onderwerp breed te dragen – van directie tot helpdesk – kan een organisatie zich duurzaam beschermen tegen risico’s. Het gaat niet langer om de vraag: ‘Is het veilig?’, maar om: ‘Begrijpen we de risico’s, en hebben we de juiste maatregelen genomen?’ En dat is een vraag die iedereen zich zou moeten stellen.

Wil je van cybersecurity een gedeelde verantwoordelijkheid maken binnen jouw organisatie?

Elmos helpt je om een cultuur van digitale veiligheid op te bouwen, met strategisch advies, hands-on begeleiding en expertise op maat van jouw team. Neem contact op en ontdek hoe we  jouw organisatie weerbaarder maken.

Meer nieuws

Blog
Software Lifecycle Plan
Hoe een software lifecycle plan je cybersecurity versterkt
15.09.2025
Blog
Zo kies je de juiste IT-transformatiepartner
Zo kies je de juiste IT-transformatiepartner zonder controle te verliezen
22.07.2025
Blog
Quick wins voor jouw digitale transformatie
Hoe je met quick wins steun bij management krijgt voor digitale transformatie
11.07.2025
Alle nieuws