Jouw bedrijf gehackt? Dan heb je waarschijnlijk precies gekregen wat je hebt geaccepteerd. En nee — dat is niet de schuld van je CISO.

Jouw bedrijf gehackt? Dan heb je waarschijnlijk precies gekregen wat je hebt geaccepteerd. En nee — dat is niet de schuld van je CISO.

Dat is geen populaire uitspraak. Maar wel de waarheid waar de meeste organisaties omheen blijven draaien.

Want op het moment dat het misgaat, ontstaat er een bijna reflexmatige reactie. Er moet een oorzaak zijn. Iemand moet iets gemist hebben. Iemand had moeten ingrijpen. En dus schuift de blik richting security. Richting de CISO. De persoon die hier ten slotte “overgaat”.

Alleen… dat is niet waar het verhaal begint.

Het verhaal begint veel eerder. In vergaderruimtes waar risico’s niet worden genegeerd, maar besproken. Waar ze op tafel liggen, worden uitgelegd, worden voorzien van impact, scenario’s en concrete maatregelen. Het begint op het moment dat iemand — vaak de CISO — zegt: dit kan misgaan, en als het misgaat, dan ziet dat er zo uit.

En dan gebeurt er iets interessants.

Niet iedereen zegt: “los het op.”

Er ontstaat een gesprek.

Over kosten. Over prioriteiten. Over timing. Over afhankelijkheden. Over wat dit betekent voor lopende projecten. Over wat er moet wijken als dit nu aandacht krijgt. Over hoe groot de kans écht is en of dit niet ook later kan.

Het zijn geen verkeerde gesprekken. Het zijn precies de gesprekken die je verwacht in een organisatie die probeert te balanceren tussen risico en realiteit.

En ergens in dat gesprek wordt een beslissing genomen.

Soms expliciet—Vaker impliciet.

Niet nu.

Niet omdat het niet belangrijk is. Maar omdat er iets anders belangrijker wordt gevonden.

Dat is het moment waarop het risico blijft bestaan.

Niet door nalatigheid. Maar door keuze.

Wat daarna gebeurt, is bijna voorspelbaar.

Het risico verdwijnt naar de achtergrond. Het staat misschien nog ergens in een register, komt af en toe terug in een rapportage, maar verliest urgentie. Nieuwe projecten starten. Prioriteiten verschuiven. De organisatie beweegt door.

Totdat het moment komt waarop precies datgene gebeurt waarvoor gewaarschuwd is.

Een aanval. Een verstoring. Een hack.

En ineens verandert alles.

Wat eerst een rationele afweging was, voelt nu als een fout. Wat eerst acceptabel leek, wordt achteraf onacceptabel. En in de chaos van dat moment ontstaat er behoefte aan duidelijkheid. Aan een oorzaak. Aan iemand die het had moeten voorkomen.

En dus kijken we naar de CISO.

Maar hier wordt het ongemakkelijk.

Want de CISO was er al.

Die heeft het risico benoemd. Die heeft uitgelegd wat de impact kon zijn. Die heeft aangegeven wat er nodig was om het te verkleinen. Soms één keer. Soms meerdere keren. Soms zo vaak; dat het gesprek begon te schuren.

En misschien is dat precies het probleem.

Want een echte CISO schuurt.

Die stelt vragen die je liever niet stelt. Die legt keuzes bloot die je liever impliciet houdt. Die maakt zichtbaar wat het betekent om risico te accepteren. Niet in abstracte termen, maar in concrete gevolgen.

En dat is precies waarom zoveel organisaties moeite hebben om die rol goed in te vullen. Omdat ze iemand zoeken die verantwoordelijkheid draagt voor de uitkomst, maar niet iemand die het gesprek afdwingt dat daarvoor nodig is.

Vorige week schreef ik dat CISO-vacatures niet moeilijk te vervullen zijn vanwege een tekort aan mensen, maar vanwege een mismatch in verwachtingen. Organisaties zoeken iemand die alles oplost, zonder zelf te veranderen.

Dit is daar de consequentie van.

Want als je iemand aanneemt zonder mandaat, zonder positie, zonder echte invloed op besluitvorming, dan verandert er niets aan hoe risico’s worden behandeld. Dan blijft security iets dat adviseert, signaleert en rapporteert, maar niet daadwerkelijk stuurt.

En dan maakt het eerlijk gezegd weinig uit wie je op die rol zet.

Het patroon blijft hetzelfde.

Risico’s worden benoemd. Risico’s worden besproken. Risico’s worden — bewust of onbewust — geaccepteerd.

Totdat ze werkelijkheid worden.

Wat het nog confronterender maakt, is dat dit geen verborgen dynamiek meer is. Met de komst van de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet wordt dit expliciet gemaakt. Niet omdat de wet iets nieuws introduceert, maar omdat ze eindelijk benoemt wat er al gebeurde: de verantwoordelijkheid ligt bij degenen die de keuzes maken.

Niet bij degene die waarschuwt.

Bij degene die besluit.

Dus als je organisatie wordt gehackt, is de vraag niet of je CISO gefaald heeft.

De vraag is veel ongemakkelijker.

Welke risico’s heb je gezien… en toch laten bestaan?

Welke signalen heb je gehoord… en naast je neergelegd?

Welke keuzes voelden logisch op dat moment… maar blijken achteraf precies de reden dat het misging?

Dat zijn geen vragen die je oplost door een nieuwe CISO aan te nemen.

Dat zijn vragen die iets zeggen over hoe je organisatie besluit.

En zolang dat niet verandert, blijft elke CISO — hoe goed ook — werken binnen dezelfde grenzen.

Met dezelfde uitkomst.

Dus nee.

Je bedrijf is niet gehackt omdat je CISO faalde.

Je bedrijf is gehackt omdat de organisatie besloot dat het risico acceptabel was.

Alleen niet hardop.