Cybersecurity is meer dan een technische uitdaging – het is een bestuurvraagstuk dat steeds vaker op de agenda van raden van bestuur terechtkomt. Op 20 mei brengt Katleen Seeuws, vice president standards & guidance bij The Institute of Internal Auditors (IIA) Global op Cybersec Europe 2026 een keynote over hoe interne auditorganisaties cyberrisico’s kunnen vertalen naar vertrouwen op bestuursniveau.
Met jarenlange ervaring in governance, interne controle en risicogerichte auditwerkzaamheden, benadrukt Seeuws één kernpunt: cybersecurity is geen it-probleem dat beperkt blijft tot firewalls en technische controls. Het is een board-level governance- en risicovraagstuk.
Haar sessie, ‘From cyber risk to board confidence: the internal audit perspective’ legt uit hoe interne audit kan helpen bij het versterken van cyber governance en het verbeteren van rapportages aan het senior management en raden van bestuur.
Cyberrisico’s niet langer fragmentarisch bekijken
Veel organisaties worstelen nog met gefragmenteerde verantwoordelijkheden: IT, risicomanagement, compliance en business leadership werken vaak in silo’s. Dat leidt tot onduidelijke escalaties, onheldere eigenaarschap en rapportages die te technisch of te vaag zijn voor raden van bestuur en auditcommissies.
Volgens de IIA 2026 Risk in Focus blijft cybersecurity wereldwijd het belangrijkste auditrisico, terwijl digitale ecosystemen steeds complexer worden, afhankelijkheden van derden toenemen en regelgeving zoals NIS2, DORA en de Data Act extra druk zetten op organisaties.
Seeuws pleit voor een gestandaardiseerde, risk-based aanpak. ‘Interne audit kan beoordelen of cyber governance daadwerkelijk werkt, of risico’s helder gedefinieerd zijn, verantwoordelijkheden toegewezen, en controles afgestemd op wat echt belangrijk is voor de organisatie’, oppert ze. Alleen dan kan het senior management weloverwogen beslissingen nemen en kan de raad van bestuur met vertrouwen sturen.
Three lines model als leidraad
Een centraal onderdeel van haar presentatie is het Three lines model, dat duidelijkheid biedt over rollen en verantwoordelijkheden binnen governance. Zo krijgt elke stakeholder de inzichten die hij of zij nodig heeft:
– Raden van bestuur en auditcommissies krijgen vertrouwen dat cyberrisico’s begrepen, gecontroleerd en transparant gerapporteerd worden.
– Senior management krijgt inzicht in gaten, inconsistenties en het cybervolwassenheidsniveau binnen de organisatie.
– Second-line functies profiteren van duidelijke verantwoordelijkheden en betere integratie binnen het bredere Governance, Risk & Compliance (GRC)-raamwerk.
Ook wie niet in interne audit werkt, moet hier lering uit kunnen trekken, benadrukt Seeuw. ‘Onduidelijke rollen maken risico’s moeilijker beheersbaar en ongestructureerde rapportages belemmeren bestuurders in hun sturing.’
Cybersecurity als strategische prioriteit
Seeuws benadrukt dat cybersecurity steeds meer een strategische prioriteit is, in plaats van enkel een technische oefening. ‘Organisaties moeten nadenken over digitale veerkracht, incidentvoorbereiding en samenwerking over afdelingen heen’, oppert ze. ‘Succes zal in de komende jaren worden gemeten aan hoe goed een organisatie risico’s anticipeert, controles aanpast, snel herstelt en duidelijk rapporteert aan besluitvormers.’
In haar keynote laat Seeuws ook zien hoe het Cybersecurity Topical Requirement binnen het IIA-raamwerk helpt om de maturiteit van cybersecurity te verbeteren. Standaardisatie zorgt voor betrouwbare risico-rapportages, betere governance en sterker vertrouwen bij boards en senior management. Of hoe interne audit kan fungeren als brug tussen technische beveiliging en strategische besluitvorming.
De presentatie van Katleen Seeuws op Cybersec Europe is op 20 mei 2026 om 15:35 uur op de main stage in Brussels Expo.
