Cybersecurity is meer dan een technische uitdaging; het is een vraagstuk dat steeds vaker op de agenda van raden van bestuur terechtkomt. Op 20 mei brengt Katleen Seeuws, vicepresident standards & guidance bij The Institute of Internal Auditors (IIA) Global, op Cybersec Europe 2026 een keynote over hoe interne auditorganisaties cyberrisico’s kunnen vertalen naar vertrouwen op bestuursniveau.
Met jarenlange ervaring in governance, interne controle en risicogerichte auditwerkzaamheden, benadrukt Seeuws één kernpunt: cybersecurity is geen it-probleem dat beperkt blijft tot firewalls en technische controls. Het is een board-level governance- en risicovraagstuk.Haar sessie ‘From cyber risk to board confidence: the internal audit perspective’ legt uit hoe interne audit kan helpen bij het versterken van cybergovernance en het verbeteren van rapportages aan het senior management en raden van bestuur.
Cyberrisico’s niet langer fragmentarisch bekijken
Veel organisaties worstelen met gefragmenteerde verantwoordelijkheden: it, risicomanagement, compliance en business leadership werken vaak in silo’s. Dat leidt tot onduidelijke escalaties, onheldere eigenaarschap en rapportages die te technisch of te vaag zijn voor raden van bestuur en auditcommissies.Volgens de ‘IIA 2026 Risk in Focus‘ blijft cybersecurity wereldwijd het belangrijkste auditrisico, terwijl digitale ecosystemen complexer worden, afhankelijkheden van derden toenemen en regelgeving zoals NIS2, Dora en de Data Act extra druk zetten op organisaties.
Seeuws pleit voor een gestandaardiseerde, risk-based aanpak. ‘Interne audit kan beoordelen of cyber governance daadwerkelijk werkt, of risico’s helder gedefinieerd zijn, verantwoordelijkheden toegewezen, en controles afgestemd op wat echt belangrijk is voor de organisatie’, oppert ze. Alleen dan kan het senior management weloverwogen beslissingen nemen en kan de raad van bestuur met vertrouwen sturen.
Three lines
Katleen Seeuws.
Een centraal onderdeel van haar presentatie is het Three Lines-model, dat duidelijkheid biedt over rollen en verantwoordelijkheden binnen governance. Zo krijgt elke stakeholder de inzichten die hij of zij nodig heeft:
Raden van bestuur en auditcommissies krijgen vertrouwen dat cyberrisico’s begrepen, gecontroleerd en transparant gerapporteerd worden;
Senior management krijgt inzicht in gaten, inconsistenties en het cybervolwassenheidsniveau binnen de organisatie;
Second-line-functies profiteren van duidelijke verantwoordelijkheden en betere integratie binnen het bredere Governance, Risk & Compliance (GRC)-raamwerk.
Ook wie niet in interne audit werkt, moet hier lering uit kunnen trekken, benadrukt Seeuw. ‘Onduidelijke rollen maken risico’s moeilijker beheersbaar en ongestructureerde rapportages belemmeren bestuurders in hun sturing.’
Strategische prioriteit
Seeuws benadrukt dat cybersecurity een strategische prioriteit is, in plaats van enkel een technische oefening. ‘Organisaties moeten nadenken over digitale veerkracht, incidentvoorbereiding en samenwerking over afdelingen heen’, oppert ze. ‘Succes zal in de komende jaren worden gemeten aan hoe goed een organisatie risico’s anticipeert, controles aanpast, snel herstelt en duidelijk rapporteert aan besluitvormers.’In haar keynote laat Seeuws ook zien hoe het Cybersecurity Topical Requirement binnen het IIA-raamwerk helpt om de maturiteit van cybersecurity te verbeteren. Standaardisatie leidt tot betrouwbare risico-rapportages, betere governance en sterker vertrouwen bij boards en senior management. Of hoe interne audit kan fungeren als brug tussen technische beveiliging en strategische besluitvorming.
De presentatie van Katleen Seeuws op Cybersec Europe is op 20 mei 2026 om 15:35 uur op de main stage in Brussels Expo.
computable
02-02-2026 12:19