Als je een bestuurder vraagt naar de digitale weerbaarheid van de organisatie, wordt de IT-afdeling gebeld.
Digitale weerbaarheid gaat over de mate waarin een land, bedrijf of een andere organisatie in staat is om digitale incidenten te voorkomen, te detecteren, erop te reageren en zich er snel van te herstellen. En dat het een keer misgaat, is niet hypothetisch in deze tijd van geopolitieke onrust. Nederland zit in de ‘grey zone’, het schemergebied tussen oorlog en vrede. We worden continu geconfronteerd met hybride verstoringen, denk aan cyberaanvallen, data hacks, sabotage van zeekabels en het verspreiden van misinformatie.

IT is voor vrijwel alle organisaties een primair bedrijfsproces. En in alle onderzoeken naar de grootste bedrijfsrisico’s, staat cyber soms op nummer één, soms op twee, maar altijd bij de eerste drie. In dat licht bezien is het verbazingwekkend hoe weinig organisaties rapporteren over digitale kwetsbaarheid en weerbaarheid.
Netwerk
Onze kritische infrastructuur, denk bijvoorbeeld aan energie en telecom, heeft veel faalpunten. In vredestijd hebben we alles aan elkaar geknoopt, zonder goed na te denken over hoe we in de lucht blijven of weer komen als we permanent aangevallen worden. En er tegenover staat ook niet één duidelijke vijand, maar er opereren ontelbare losse groeperingen. En een netwerk vang je alleen met een netwerk. 
Samenwerking
Dus als er geen samenwerking komt tussen het bedrijfsleven, defensie, de private sector en experts uit de academische wereld dan gaat het niet lukken ons goed te verdedigen. Weerbaarheid betekent ook dat een telecomprovider of energieleverancier afspraken zal moeten maken met de concurrentie om de boel tijdelijk over te nemen als zij om een of andere reden uitvallen.

Digitale weerbaarheid is overigens veel meer dan cybersecurity. Ook de bescherming van de fysieke veiligheid hoort erbij. Denk aan het voorkomen dat ze bij je inbreken of een kabel kunnen doorknippen. In veel organisaties zijn dit nog gescheiden werelden.
MKB-land
In een MKB-land als Nederland zien we dat bedrijven allerlei systemen en software ‘out of the box’ installeren. De leveranciers geven wel security-by-design opties, maar die moeten wel eerst worden aangezet en vaak apart worden betaald. Wat in de praktijk vaak niet gebeurt. Dus dan lijkt het veilig, maar is het niet. 
Weerbaarheid is je afhankelijkheden beheersen.
Daarbij zijn bedrijven en organisaties allemaal onderdeel van ketens. En dat maakt ze ook kwetsbaar. Omdat de zwakste schakel ‘first line of defense’ is. En je kunt denken: wij zijn toch geen doelwit, wat moeten ze nou met ons? Maar als een ander in de keten, bijvoorbeeld een klant of leverancier wel target is, kan jouw organisatie als nevenschade ook hard geraakt worden. Weerbaarheid is je afhankelijkheden beheersen. 
Zelf weten
Als je nu een directeur-grootaandeelhouder vraagt naar de digitale weerbaarheid van de organisatie, wordt er in veel gevallen gebeld met de IT-afdeling of leverancier. Het belang van digitale weerbaarheid is echter zo groot dat een CEO of directeur-grootaandeelhouder niet kan volstaan met delegeren aan anderen; niet aan een specifieke collega bestuurder, niet aan een stafafdeling, en al helemaal niet aan externe partijen.

Digitale weerbaarheid is inmiddels een collectieve verantwoordelijkheid van het bestuur, net als financiën of goed werkgeverschap. Alle managementniveaus moeten goed begrijpen wat de kwetsbaarheden zijn en continu werken aan veiligheid en weerbaarheid.
Belangrijk
Als je als organisatie geen incident response plan hebt en dit niet geoefend hebt in de praktijk, dan ben je niet goed voorbereid en dus niet weerbaar. Wat als er geen stroom is, telefoons en computers niet werken, er geen internet is of je domweg het gebouw niet in kunt? Daarom is het belangrijk dat specialisten met een holistische kijk op de IT situatie een belangrijke rol hebben in de organisatie. En de bestuurders van de organisatie moeten zelf ook meer kennis hebben, om de organisatie goed te kunnen aansturen en de juiste vragen te kunnen stellen aan de specialisten om hen heen. Die specialisten moeten vervolgens praten in een taal die de board begrijpt en motiveert.