Professor Dr. Yuri Bobbert won afgelopen maand de ISACA Leadership Award voor zijn “substantial impact as a serial entrepreneur, business executive and professor, excelling in both business and academia.” ISACA is wereldwijd de grootste gemeenschap van digitale specialisten en reikt de award jaarlijks uit aan leiders in dit digitale domein. Bobbert is de eerste Nederlander in ISACA’s 50 jarig bestaan die deze award in ontvangst mag nemen. Daarnaast is Bobbert professor aan de Antwerp Management School, waar hij studenten begeleidt om hun ideeën uit te werken naar tastbare oplossingen. PONT | Data & Privacy sprak hem over zijn nominatie, cybersecurity als maatschappelijke uitdaging en de regeldruk in Europa. Over dat laatste is de professor duidelijk, “Europa moet innoveren, niet dereguleren.”
De International Security and Audit Community (ISACA) speelt een cruciale rol in het information security-landschap. Bobbert: "Dit is een van de grootste gemeenschappen voor information security, compliance en alles wat daarbij komt kijken, vooral in het technische domein." De organisatie, die al veertig jaar bestaat, heeft een immense groei doorgemaakt door de opkomst van het internet en de toegenomen regelgeving. "Iedereen moet regels naleven, kennis blijven opdoen en beroepscertificaten halen en behouden. ISACA heeft het recht om een aantal certificaten uit te delen, zoals Certified Information Security Manager (CISM) en Certified Information Systems Auditor (CISA). Dat zorgt voor een enorme bron van inkomsten en een omvangrijke gemeenschap met wereldwijd 280.000 leden."
ISACA onderscheidt zich niet alleen door certificeringen, maar ook door kritische kennisdeling. Bobbert: "Het ISACA Journal is misschien wel kritischer dan de gemiddelde academische publicatie die ik ken. Er wordt veel samengewerkt met academische instellingen Om de vakinhoud te verbeteren," benadrukt de expert. ISACA organiseert conferenties en trainingssessies, waar zowel de markt als professionals direct met kansen worden geconfronteerd. "Ze doen dat heel goed. Het trainingsmateriaal en de certificaten zijn van onschatbare waarde, bijvoorbeeld die van de Certified Information Systems Auditor (CISA). Waarvan we er veel nodig zullen gaan hebben met al deze opkomende wetgevingen."
Daarnaast speelt Bobbert als academisch directeur bij Antwerp Management School een belangrijke rol in de ontwikkeling van academisch onderbouwde raamwerken van ISACA. Yuri: "Dertig jaar geleden zijn wij begonnen met onderzoek naar de raamwerken voor IT Governance in samenwerking met ISACA, om er meer ‘academic rigor’ aan toe te voegen. Dat heeft ertoe geleid dat studenten vandaag de dag onderzoek doen naar producten van ISACA en die inzichten worden gepresenteerd op grote podia. Het is geweldig om te zien hoe jonge professionals een vitale rol spelen in de verdere ontwikkeling van het vakgebied en de materialen van ISACA worden zo ook verder verbeterd."
Europa staat bekend om zijn uitgebreide regelgeving op het gebied van cybersecurity en data. Bobbert is het eens met de stelling dat de regeldruk nadelig uit kan pakken voor Europese bedrijven. Bobbert: "Als je kijkt naar de tijdslijnen van Europese wetgeving, dan is dat echt gigantisch," merkt de expert op. "We hebben sinds 2019, drie keer zoveel reguleringen doorgevoerd, ten opzichten van de VS. Dat heeft een enorme impact op onze concurrentiepositie. Mario Draghi zei het al in zijn rapport: ‘We are killing our companies.’"
Toch ziet de Bobbert hierin ook een kans. "We moeten als Europa niet dereguleren, maar innoveren. Technologie kan enorm helpen bij het efficiënter maken van compliance-processen. Zo hebben wij bij Anove Kunstmatige Intelligentie verwerkt in tools die kunnen analyseren waar wetgeving overlap vertoont. Vaak komt het erop neer dat je niet tien aparte dingen hoeft te doen, maar kunnen vijf stappen al volstaan omdat ze in meerdere richtlijnen terugkomen. Dat scheelt enorm veel tijd en geld." Bij ON2IT gebruiken we AI om sneller op cyberaanvallen te anticiperen en acteren, dat is een enorme sprong voorwaarts ten opzichten van als een mens dat zou moeten doen.
Trump II hekelt alles wat trans is, zo opende de Amerikaanse regering zelfs het vuur op het Trans-Atlantic Data Privacy Framework. De administratie schreef drie democratische leden van het Peoples Liberties Oversight Board (PLOB) aan om terugtrekking uit hun positie te eisen. Critici stellen dat deze ontwikkeling de rechtsgeldigheid van het raamwerk ter discussie stelt en in rechte kan worden aangevochten, hetgeen de toekomst van het Trans-Atlantic Data Privacy Framework onzeker maakt.
Met de komst van Trump II is de discussie over de digitale soevereiniteit van Europa mainstream gegaan. Maar die discussie laat direct zien hoe complex en competitief het speelveld is. Bobbert: "De Amerikanen zien data als een currency waarmee ze geld kunnen verdienen, terwijl wij privacy als een fundamenteel recht beschouwen. Dat leidt tot conflicten, zoals de voortdurende juridische strijd over de doorgifte van data tussen de EU en de VS. De uitspraken over Schrems II en de nieuwe onderhandelingen over dataoverdracht maken duidelijk hoe gevoelig dit onderwerp ligt. Daarbij is het niet zeker dat het huidige raamwerk stand houdt in het licht van recente acties van Trump II."
Regulering kan dus zowel een last als een kans zijn, volgens Bobbert. "We zien dat bedrijven steeds meer investeren in compliance-tools die het naleven van regelgeving makkelijker maken. Organisaties moeten, zoals ik vaker zeg, ervoor zorgen dat ze ‘the right things right’ doen. Met slimme technologie kan Europa de regeldruk ombuigen naar een concurrentievoordeel." De “EU Competitiveness Compass” is voor innovatieve tech bedijven als Anove een speerpunt qua strategie en ontwikkeling. Zwaar inzetten op “EU Made Technologie”
Bobbert benadrukt dat een goede implementatie van cybersecurity wetgeving, zoals de NIS2-richtlijn, onmisbaar is voor het veiligstellen van kritieke infrastructuur. "Organisaties moeten nu écht prioriteit geven aan cybersecurity. Maar de praktijk laat zien dat kennis en de capability om actie te ondernemen nog vaak ontbreken. We weten wel wat we moeten doen, maar we doen het niet of weten niet hoe. In bepaalde sectoren worden 80% van de functionaliteiten in cybersecuritytools niet benut, we spreken dan over onder utilisatie. In andere industrieën, zoals de automotive of de luchtvaart, wordt veiligheidsfuncties maximaal gebruikt.” Volgens Bobbert moeten andere sectoren, zoals de publieke sector, eenzelfde niveau van volwassenheid bereiken en inzetten op technologie “utilisatie”. Recente richtlijnen gaan hierbij helpen.
De relatie tussen cybersecurity en de rechtsstaat is urgenter dan ooit. Volgens professor Bobbert is een goed functionerende rechtsstaat een absolute randvoorwaarde voor de bescherming van burgers in het digitale tijdperk. “Privacy is ons grootste goed,” stelt hij. “Maar waar wij privacy als een fundamenteel recht zien, beschouwen de Amerikanen data als een vorm van valuta. Het idee onder Amerikaans leiderschap is: ‘Met data kunnen we floreren.’” Bobbert benadrukt dat dit fundamentele verschil in visie leidt tot spanningen, vooral nu het raamwerk van gegevensuitwisseling met de VS onder druk staat.
Daarnaast heeft de digitalisering van onze publieke infrastructuur geleid tot een grote afhankelijkheid van Amerikaanse techbedrijven zoals Microsoft en Amazon. Bobbert: “We zitten zo diep in dat Amerikaanse BigTech stelsel, dat het essentieel is om nu al na te denken over een exitstrategie. Wat als we straks uit Microsoft Azure willen stappen als Nederlandse overheid? Wat is het alternatief? Ik vind het goed dat de minister van Digitale Zaken hierop anticipeert.” Bobbert wijst erop dat landen als Frankrijk en Duitsland al bewust investeren in Europese cloudoplossingen om de digitale soevereiniteit te waarborgen. En dat retailers als Lidl het Amerikaanse voorbeeld van retailer Amazon (ooit begonnen als boekhandel) volgen naar het leveren van EU cloud diensten.
Cybersecurity is volgens hem dan ook niet langer een geïsoleerd technisch vraagstuk, maar een juridische en internationale opgave. Bobbert: “Zijn we in staat om cybercriminelen in schurkenstaten juridisch aan te pakken? Dat is een collectief probleem,” stelt hij. “De enige manier om dit te bestrijden is via een ‘zero trust’-strategie: geen enkele gebruiker, service of entiteit wordt automatisch vertrouwd, zelfs niet binnen een organisatie. Elke interactie moet worden gevalideerd. Het is niet voor niets dat het NIS2 directief expliciet spreekt over het adopteren van Zero Trust als de juiste weg voorwaarts qua cybersecurity strategie.”
De toekomst van cybersecurity binnen de rechtsstaat hangt dus niet alleen af van technologische innovatie, maar vooral van internationale samenwerking en passende regelgeving. “We moeten niet meer individualistisch denken,” concludeert hij. “Cybersecurity is een wereldwijd probleem dat we alleen samen kunnen aanpakken door te innoveren. Het wereldwijd breed opnemen van Zero Trust -in regelgeving- is zo’n voorbeeld van een innovatief collectief.”
