Waarom beschouwen bestuurders cyberbeveiliging als een backofficefunctie?

In dit artikel:

Philipp Müller (VP bij DriveLock SE en lid van de adviesraad van de European Resilience Summit) pleit ervoor om digitale soevereiniteit niet te zien als een checklist of als de fysieke locatie van servers, maar als het vermogen van een organisatie om haar digitale slagkracht te behouden in tijden van druk — bijvoorbeeld bij een cyberaanval, plotselinge wetgeving of geopolitieke spanning. Moderne organisaties functioneren als netwerken van onderlinge afhankelijkheden; kwetsbaarheid in één laag kan het geheel ondermijnen.

Müller onderscheidt vier kritische dimensies die samen bepalen of een organisatie bestand is tegen verstoringen:
- Mensen: medewerkers moeten digitaal vaardig zijn en weten hoe ze onder druk handelen; veerkracht moet onderdeel zijn van leiderschapscultuur.
- Apparaten: eindpunten moeten betrouwbaar, up-to-date en bestuurbaar blijven, ook bij verstoringen in de toeleveringsketen.
- Applicaties: organisaties moeten hun kritieke software-afhankelijkheden kennen en in staat zijn om te schakelen of te herconfigureren wanneer een leverancier de voorwaarden verandert.
- Data: cruciale gegevens moeten traceerbaar zijn, goed beheerd en juridisch houdbaar geplaatst.

De komst van AI vergroot zowel de onderlinge verwevenheid als de ondoorzichtigheid van systemen, waardoor cascade-effecten vaker en moeilijker te doorgronden worden. Dit maakt het vraagstuk niet alleen technisch, maar ook epistemisch: bestuurders moeten weten wat er werkelijk speelt, waar de kwetsbaarheden zitten en welke interventies mogelijk zijn.

Bestuurders hoeven geen technische experts te worden, maar wel strategisch vaardig: ze moeten de juiste vragen durven stellen en bestuurlijke besluiten koppelen aan digitale realiteit. Müller verwijst naar Gregor Hohpe’s idee van de “architectenlift”: iemand moet de brug tussen bestuursvisie en uitvoering naar beneden en terug kunnen maken — de raad hoeft die rol niet persoonlijk te vervullen, maar moet wel zorgen dat die vaardigheid aanwezig is.

Digitale soevereiniteit definieert hij als het voortdurende vermogen om kritieke digitale functies te beheren, controleren en beschermen onder normale en uitzonderlijke omstandigheden. Het is geen eindpunt maar een ontwikkelbare capaciteit en een vraagstuk van leiderschap.