Vertrouwen in de kwetsbare keten
NBA publiceert Publieke Managementletter over digitale weerbaarheid
Organisaties opereren in toenemende mate in digitale en uitbestede ketens. Cloudplatforms, datadiensten en leveranciers zijn sterk met elkaar verweven. Die verwevenheid biedt kansen, maar vergroot ook de kwetsbaarheid. Eén verstoring kan zich snel door de keten verspreiden en raakt direct de continuïteit van dienstverlening, governance en maatschappelijk vertrouwen.
In deze Publieke managementletter (PML) duidt de NBA-Signaleringsraad, in samenwerking met NOREA (IT-auditors) en IIA Nederland (internal auditors), waarom traditionele governance-instrumenten en assurance-vormen niet voldoende houvast bieden voor deze ketenrealiteit. Nieuwe Europese wetgeving, zoals de Digital Operational Resilience Act (DORA) en de Network and Information Systems Directive (NIS2), onderstreept dat bestuur en toezicht eindverantwoordelijk blijven voor digitale weerbaarheid, ook wanneer processen zijn uitbesteed. Dit vraagt om actief inzicht in afhankelijkheden en herstelvermogen, voorbij de eigen organisatiegrenzen.
De PML bevat zes signalen. Een deel daarvan is expliciet gericht op bestuurders en toezichthouders en roept hen op ketenrisico’s bestuurlijk te adresseren. Tegelijkertijd richt één signaal zich nadrukkelijk op accountants, IT-auditors en internal auditors zelf. Dit signaal benadrukt het belang van samenwerking tussen disciplines en het expliciet maken van de reikwijdte en begrenzing van assurance, zodat bestuur en toezicht een realistisch en samenhangend risicobeeld krijgen.
De signalen zijn vertaald naar concrete handelingsperspectieven, zoals het structureel in kaart brengen van kritieke afhankelijkheden, het kritisch duiden van assurance-rapportages en het uitvoeren van realistische ketenoefeningen met strategische leveranciers. Daarmee maakt de PML duidelijk dat weerbaarheid geen afgeleid onderwerp is, maar een gezamenlijke opgave voor bestuur, toezicht en auditprofessionals.
Deze PML beoogt hen te ondersteunen in hun verantwoordelijkheid voor digitale weerbaarheid en ketencontinuïteit, en draagt bij aan een scherper en eerlijker beeld van risico’s en afhankelijkheden in een steeds complexer ketenlandschap.