Risicomanagement staat onder druk. Nieuwe wetgeving, strengere compliance-eisen en een groeiende stroom cyberdreigingen zorgen ervoor dat organisaties steeds meer tools, processen en controles toevoegen. Tijdens het Innovation Event 2026 van The Future Group, een IT-collectief waarin 350 onafhankelijke IT-professionals samenwerken, hielden Richard Olrichs en Chris Gralike daarom een opvallend pleidooi. Volgens hen ontstaat betere beveiliging niet door steeds meer maatregelen te stapelen, maar juist door slimmer te ontwerpen en minder complexiteit toe te voegen. Hun keynote over risicomanagement liet zien waarom eenvoud vaak veiliger is dan controlezucht.
Veel organisaties reageren op nieuwe risico’s met extra technologie. Er komt een monitoringtool bij, een extra authenticatielaag, een aanvullende controle of een nieuwe compliance-procedure. Op papier lijkt dat logisch. In de praktijk ontstaat daardoor vaak een landschap vol uitzonderingen, losse maatregelen en systemen die elkaar overlappen. Volgens Richard Olrichs en Chris Gralike ligt daar precies het probleem. Risicomanagement verandert daardoor van strategisch ontwerpdenken naar een verzameling losse beveiligingsreacties.
Risicomanagement verschuift naar defensief denken
Tijdens hun keynote schetsten Olrichs en Gralike hoe risicomanagement de afgelopen jaren steeds defensiever is geworden. Organisaties focussen vooral op dreigingen, audits en regels. Daardoor verdwijnt de oorspronkelijke vraag naar de achtergrond: welke waarde probeert een organisatie eigenlijk te beschermen?
Chris Gralike legde uit dat veel definities van risicomanagement vooral draaien om het beperken van onzekerheid. Dat klinkt logisch, maar in de praktijk leidt het vaak tot een cultuur waarin mensen alleen nog bezig zijn met het voorkomen van fouten. Volgens hem ontstaat daardoor een tunnelvisie. Teams kijken uitsluitend naar risico’s en vergeten waarom processen ooit zijn ingericht.
Organisaties willen vooral vinkjes zetten voor toezichthouders
Die ontwikkeling wordt versterkt door regelgeving zoals DORA, NIS2, ISO-certificeringen en SOC 2-controles. Vooral kleinere organisaties ervaren een enorme administratieve druk. Skunk Team, het bedrijf waar Gralike werkt, ontwikkelde bijvoorbeeld een SaaS-platform voor een Nederlandse verzekeraar. Dat platform verwerkt maandelijks gegevens van honderdduizenden Nederlanders. Daardoor moet het voldoen aan zware eisen rond privacy, continuïteit en cybersecurity.
Volgens Gralike ontstaat dan snel de neiging om compliance centraal te zetten in plaats van de bedrijfsdoelstelling. Organisaties willen vooral vinkjes zetten voor toezichthouders. Het gevolg is een explosie aan maatregelen die elkaar soms zelfs tegenwerken.
Complexiteit vergroot cybersecurity risico
Een van de belangrijkste thema’s tijdens de keynote was de relatie tussen complexiteit en cybersecurity. Hoe meer systemen, koppelingen en controles organisaties toevoegen, hoe groter het aanvalsoppervlak wordt.
Richard Olrichs verwees daarbij naar cijfers van het CBS. Slechts ongeveer de helft van de Nederlandse organisaties werkt actief met risicomanagement. In meerdere sectoren neemt die aandacht zelfs af. Tegelijkertijd groeit de hoeveelheid beveiligingstools juist explosief.
Volgens de sprekers ontstaat daardoor een paradox. Organisaties voelen zich veiliger omdat ze meer maatregelen hebben ingevoerd, terwijl de feitelijke beheersbaarheid juist afneemt. Elke extra tool introduceert immers nieuwe afhankelijkheden, extra beheerlast en aanvullende kwetsbaarheden.
Dat probleem werd tijdens de sessie concreet gemaakt met voorbeelden uit de praktijk. Een deelnemer vertelde hoe zijn organisatie on-premises datacenters verving door Microsoft Azure. De migratie moest risico’s verkleinen, maar introduceerde tegelijkertijd nieuwe afhankelijkheden rond geopolitiek, vendor lock-in en cloudbeheer.
Volgens Gralike laat dat voorbeeld zien dat risicomanagement nooit alleen over technologie gaat. Elke ontwerpkeuze verandert het risicoprofiel van een organisatie. De vraag is daarom niet alleen welke dreiging wordt opgelost, maar ook welke nieuwe risico’s ontstaan.
Daarmee verschuift risicomanagement van een checklistbenadering naar ontwerpdenken. Organisaties moeten niet simpelweg maatregelen toevoegen, maar kritisch kijken welke onderdelen echt noodzakelijk zijn.
Risicomanagement begint bij waardecreatie
Richard Olrichs
Een opvallend onderdeel van de keynote was de nadruk op waardecreatie. Volgens Gralike begrijpen veel medewerkers organisatiedoelen nauwelijks in abstracte termen. Zij willen vooral hun werk goed uitvoeren.
Daarom werkt een puur theoretische benadering van risicomanagement vaak niet. Medewerkers herkennen zichzelf niet in complexe beleidsdocumenten of abstracte compliance-eisen. Ze zoeken praktische manieren om hun werk efficiënt te doen.
Volgens Olrichs moeten organisaties daarom eerst begrijpen hoe waarde binnen processen ontstaat. Pas daarna kunnen ze bepalen welke risico’s werkelijk relevant zijn.
Dat uitgangspunt verandert ook de manier waarop organisaties naar beveiliging kijken. Een server is bijvoorbeeld niet automatisch een risico. Die server wordt pas relevant wanneer hij essentieel is voor een bedrijfsproces of kritieke waarde vertegenwoordigt.
Daarom pleitten de sprekers voor een analyse die niet start bij technologie, maar bij processen, afhankelijkheden en bedrijfsdoelen. Vanuit die context kunnen organisaties vervolgens bepalen welke maatregelen daadwerkelijk zinvol zijn.
Cybersecurity faalt vaak door menselijk gedrag
Tijdens de keynote kwam ook een ander belangrijk thema naar voren: menselijk gedrag. Volgens Gralike begint bijna zeventig procent van succesvolle ransomware-aanvallen nog steeds bij menselijke fouten.
Toch reageren veel organisaties vooral met strengere regels en extra awareness-trainingen. Volgens de sprekers werkt die aanpak vaak averechts.
Mensen volgen regels namelijk niet automatisch. Zeker niet wanneer die regels hun dagelijkse werk bemoeilijken. Daardoor ontstaan zogenaamde olifantenpaadjes, informele shortcuts waarmee medewerkers processen proberen te versnellen.
Een deelnemer uit het publiek gaf daarvan een herkenbaar voorbeeld. Binnen zijn organisatie werden steeds strengere complianceprocessen ingevoerd. Medewerkers gingen daardoor juist creatieve manieren zoeken om bureaucratie te omzeilen. Volgens hem werkte de organisatie uiteindelijk minder veilig dan daarvoor.
Gralike stelde dat veel organisaties het probleem verkeerd benaderen. Zij proberen medewerkers te veranderen, terwijl ze eigenlijk processen beter moeten ontwerpen.
Organisaties moeten eerst begrijpen hoe mensen daadwerkelijk werken
Daarbij verwees hij naar een bekend voorbeeld van een Amerikaanse universiteit. Die universiteit legde niet direct wandelpaden aan tussen gebouwen. Eerst liet men studenten vrij over het gras lopen. Pas nadat vanzelf looproutes ontstonden, werden de paden aangelegd.
Volgens Olrichs zit daar een belangrijke les voor cybersecurity en risicomanagement. Organisaties moeten eerst begrijpen hoe mensen daadwerkelijk werken. Daarna kunnen processen en beveiligingsmaatregelen daarop aansluiten.
Security awareness alleen werkt niet
Ook traditionele security awareness kreeg stevige kritiek tijdens de sessie. Volgens Gralike tonen onderzoeken aan dat medewerkers de inhoud van veel awareness-trainingen al na enkele maanden grotendeels vergeten.
Dat betekent niet dat bewustwording nutteloos is. Wel betekent het dat organisaties te veel vertrouwen op trainingen als primaire beveiligingsmaatregel.
Volgens de sprekers moeten organisaties daarom zoeken naar manieren om risico’s structureel uit processen te verwijderen. Daarbij gebruikten zij e-mail als voorbeeld.
Veel organisaties investeren enorm veel tijd in phishing-trainingen. Medewerkers leren verdachte links herkennen en verdachte afzenders controleren. Volgens Gralike stellen maar weinig organisaties echter de fundamentele vraag waarom bepaalde processen nog steeds afhankelijk zijn van klikbare links in e-mails.
Wanneer een organisatie die afhankelijkheid vermindert, verdwijnt ook een groot deel van het risico. Daardoor hoeven medewerkers minder complexe beveiligingsbeslissingen te nemen.
Dat uitgangspunt sluit aan op een bredere verschuiving binnen cybersecurity. Moderne beveiliging draait steeds minder om het opleggen van regels en steeds meer om het slim ontwerpen van veilige standaardprocessen.
Compliance veroorzaakt nieuwe risico’s
Chris Gralike
Een belangrijk spanningsveld tijdens de keynote draaide om compliance. Veel organisaties ervaren nieuwe regelgeving als noodzakelijk, maar tegelijkertijd verstikkend.
Volgens Olrichs ontstaat het risico dat compliance een doel op zichzelf wordt. Organisaties richten processen dan vooral in om audits te doorstaan, terwijl de feitelijke veiligheid nauwelijks verbetert.
Dat probleem wordt versterkt doordat veel normen generiek zijn opgesteld. Ze houden onvoldoende rekening met specifieke architecturen, bedrijfsmodellen of werkwijzen.
Gralike gaf daarvan een voorbeeld uit de praktijk van Skunk Team. Het bedrijf werkt volledig serverless met microservices. Daardoor bestaat nauwelijks een permanente infrastructuur. Toch wilde een klant monitoring-software installeren die constant systemen moest controleren.
Volgens Gralike paste die maatregel totaal niet bij de architectuur. De extra monitoring introduceerde juist nieuwe componenten en extra risico’s.
Die situatie laat volgens hem zien waarom organisaties kritischer moeten kijken naar standaardmaatregelen. Niet elke best practice past automatisch binnen iedere omgeving.
Minder technologie, meer veiligheid
De centrale boodschap van de keynote bleef gedurende de hele sessie overeind: eenvoud creëert vaak meer veiligheid.
Volgens Olrichs en Gralike moeten organisaties daarom veel kritischer kijken naar hun bestaande landschap. Welke systemen voegen daadwerkelijk waarde toe? Welke processen bestaan alleen nog omdat ze ooit zijn ingevoerd? En welke maatregelen vergroten de complexiteit zonder aantoonbare veiligheidswinst?
Die vragen worden steeds relevanter nu organisaties tegelijkertijd moeten omgaan met AI, cloudplatformen, hybride infrastructuren en strengere regelgeving.
Juist in die context groeit de verleiding om steeds nieuwe tooling toe te voegen. Volgens de sprekers ontstaat daardoor een eindeloze keten van afhankelijkheden. Elke nieuwe oplossing vereist aanvullend beheer, nieuwe controles en extra kennis.
Daarmee verschuift risicomanagement van een strategische discipline naar een operationele overbelasting.
Volgens Gralike moeten organisaties daarom opnieuw leren ontwerpen vanuit eenvoud. Niet iedere dreiging vereist een nieuwe tool. Soms levert het verwijderen van een proces, koppeling of functionaliteit juist meer veiligheid op.
Risicomanagement vraagt ontwerpkeuzes
De keynote van Richard Olrichs en Chris Gralike liet vooral zien dat risicomanagement uiteindelijk draait om keuzes. Niet iedere dreiging hoeft volledig te worden afgedekt. Niet iedere norm hoeft letterlijk te worden vertaald naar extra tooling.
Succesvol risicomanagement begint volgens hen met een fundamentele vraag: welke waarde wil een organisatie beschermen en welke complexiteit accepteert zij daarvoor?
Minder reageren vanuit angst en meer ontwerpen vanuit processen, gedrag en bedrijfsdoelen
Die benadering vraagt om een andere manier van denken. Minder reageren vanuit angst en meer ontwerpen vanuit processen, gedrag en bedrijfsdoelen.
Daarmee raakt de discussie ook aan een bredere maatschappelijke ontwikkeling. Digitale weerbaarheid draait niet langer alleen om technologie. Het gaat steeds vaker over governance, ontwerpprincipes, menselijke interactie en organisatorische eenvoud.
Precies daarom sloot hun keynote goed aan op de bredere discussies rond digitale soevereiniteit, transparantie en verantwoord digitaliseren. Organisaties die hun digitale fundament eenvoudiger en begrijpelijker maken, bouwen uiteindelijk vaak ook een weerbaarder ecosysteem.
De paradox waarmee Olrichs en Gralike hun sessie begonnen, bleef daardoor overeind tot het einde: beter beveiligen begint soms juist met minder doen.
Risicomanagement vraagt minder systemen
Minder maatregelen, meer controle
Risicomanagement staat onder druk. Nieuwe wetgeving, strengere compliance-eisen en een groeiende stroom cyberdreigingen zorgen ervoor dat organisaties steeds meer tools, processen en controles toevoegen. Tijdens het Innovation Event 2026 van The Future Group, een IT-collectief waarin 350 onafhankelijke IT-professionals samenwerken, hielden Richard Olrichs en Chris Gralike daarom een opvallend pleidooi. Volgens hen ontstaat betere beveiliging niet door steeds meer maatregelen te stapelen, maar juist door slimmer te ontwerpen en minder complexiteit toe te voegen. Hun keynote over risicomanagement liet zien waarom eenvoud vaak veiliger is dan controlezucht.
Veel organisaties reageren op nieuwe risico’s met extra technologie. Er komt een monitoringtool bij, een extra authenticatielaag, een aanvullende controle of een nieuwe compliance-procedure. Op papier lijkt dat logisch. In de praktijk ontstaat daardoor vaak een landschap vol uitzonderingen, losse maatregelen en systemen die elkaar overlappen. Volgens Richard Olrichs en Chris Gralike ligt daar precies het probleem. Risicomanagement verandert daardoor van strategisch ontwerpdenken naar een verzameling losse beveiligingsreacties.
Risicomanagement verschuift naar defensief denken
Tijdens hun keynote schetsten Olrichs en Gralike hoe risicomanagement de afgelopen jaren steeds defensiever is geworden. Organisaties focussen vooral op dreigingen, audits en regels. Daardoor verdwijnt de oorspronkelijke vraag naar de achtergrond: welke waarde probeert een organisatie eigenlijk te beschermen?
Chris Gralike legde uit dat veel definities van risicomanagement vooral draaien om het beperken van onzekerheid. Dat klinkt logisch, maar in de praktijk leidt het vaak tot een cultuur waarin mensen alleen nog bezig zijn met het voorkomen van fouten. Volgens hem ontstaat daardoor een tunnelvisie. Teams kijken uitsluitend naar risico’s en vergeten waarom processen ooit zijn ingericht.
Die ontwikkeling wordt versterkt door regelgeving zoals DORA, NIS2, ISO-certificeringen en SOC 2-controles. Vooral kleinere organisaties ervaren een enorme administratieve druk. Skunk Team, het bedrijf waar Gralike werkt, ontwikkelde bijvoorbeeld een SaaS-platform voor een Nederlandse verzekeraar. Dat platform verwerkt maandelijks gegevens van honderdduizenden Nederlanders. Daardoor moet het voldoen aan zware eisen rond privacy, continuïteit en cybersecurity.
Volgens Gralike ontstaat dan snel de neiging om compliance centraal te zetten in plaats van de bedrijfsdoelstelling. Organisaties willen vooral vinkjes zetten voor toezichthouders. Het gevolg is een explosie aan maatregelen die elkaar soms zelfs tegenwerken.
Complexiteit vergroot cybersecurity risico
Een van de belangrijkste thema’s tijdens de keynote was de relatie tussen complexiteit en cybersecurity. Hoe meer systemen, koppelingen en controles organisaties toevoegen, hoe groter het aanvalsoppervlak wordt.
Richard Olrichs verwees daarbij naar cijfers van het CBS. Slechts ongeveer de helft van de Nederlandse organisaties werkt actief met risicomanagement. In meerdere sectoren neemt die aandacht zelfs af. Tegelijkertijd groeit de hoeveelheid beveiligingstools juist explosief.
Volgens de sprekers ontstaat daardoor een paradox. Organisaties voelen zich veiliger omdat ze meer maatregelen hebben ingevoerd, terwijl de feitelijke beheersbaarheid juist afneemt. Elke extra tool introduceert immers nieuwe afhankelijkheden, extra beheerlast en aanvullende kwetsbaarheden.
Dat probleem werd tijdens de sessie concreet gemaakt met voorbeelden uit de praktijk. Een deelnemer vertelde hoe zijn organisatie on-premises datacenters verving door Microsoft Azure. De migratie moest risico’s verkleinen, maar introduceerde tegelijkertijd nieuwe afhankelijkheden rond geopolitiek, vendor lock-in en cloudbeheer.
Volgens Gralike laat dat voorbeeld zien dat risicomanagement nooit alleen over technologie gaat. Elke ontwerpkeuze verandert het risicoprofiel van een organisatie. De vraag is daarom niet alleen welke dreiging wordt opgelost, maar ook welke nieuwe risico’s ontstaan.
Daarmee verschuift risicomanagement van een checklistbenadering naar ontwerpdenken. Organisaties moeten niet simpelweg maatregelen toevoegen, maar kritisch kijken welke onderdelen echt noodzakelijk zijn.
Risicomanagement begint bij waardecreatie
Een opvallend onderdeel van de keynote was de nadruk op waardecreatie. Volgens Gralike begrijpen veel medewerkers organisatiedoelen nauwelijks in abstracte termen. Zij willen vooral hun werk goed uitvoeren.
Daarom werkt een puur theoretische benadering van risicomanagement vaak niet. Medewerkers herkennen zichzelf niet in complexe beleidsdocumenten of abstracte compliance-eisen. Ze zoeken praktische manieren om hun werk efficiënt te doen.
Volgens Olrichs moeten organisaties daarom eerst begrijpen hoe waarde binnen processen ontstaat. Pas daarna kunnen ze bepalen welke risico’s werkelijk relevant zijn.
Dat uitgangspunt verandert ook de manier waarop organisaties naar beveiliging kijken. Een server is bijvoorbeeld niet automatisch een risico. Die server wordt pas relevant wanneer hij essentieel is voor een bedrijfsproces of kritieke waarde vertegenwoordigt.
Daarom pleitten de sprekers voor een analyse die niet start bij technologie, maar bij processen, afhankelijkheden en bedrijfsdoelen. Vanuit die context kunnen organisaties vervolgens bepalen welke maatregelen daadwerkelijk zinvol zijn.
Cybersecurity faalt vaak door menselijk gedrag
Tijdens de keynote kwam ook een ander belangrijk thema naar voren: menselijk gedrag. Volgens Gralike begint bijna zeventig procent van succesvolle ransomware-aanvallen nog steeds bij menselijke fouten.
Toch reageren veel organisaties vooral met strengere regels en extra awareness-trainingen. Volgens de sprekers werkt die aanpak vaak averechts.
Mensen volgen regels namelijk niet automatisch. Zeker niet wanneer die regels hun dagelijkse werk bemoeilijken. Daardoor ontstaan zogenaamde olifantenpaadjes, informele shortcuts waarmee medewerkers processen proberen te versnellen.
Een deelnemer uit het publiek gaf daarvan een herkenbaar voorbeeld. Binnen zijn organisatie werden steeds strengere complianceprocessen ingevoerd. Medewerkers gingen daardoor juist creatieve manieren zoeken om bureaucratie te omzeilen. Volgens hem werkte de organisatie uiteindelijk minder veilig dan daarvoor.
Gralike stelde dat veel organisaties het probleem verkeerd benaderen. Zij proberen medewerkers te veranderen, terwijl ze eigenlijk processen beter moeten ontwerpen.
Daarbij verwees hij naar een bekend voorbeeld van een Amerikaanse universiteit. Die universiteit legde niet direct wandelpaden aan tussen gebouwen. Eerst liet men studenten vrij over het gras lopen. Pas nadat vanzelf looproutes ontstonden, werden de paden aangelegd.
Volgens Olrichs zit daar een belangrijke les voor cybersecurity en risicomanagement. Organisaties moeten eerst begrijpen hoe mensen daadwerkelijk werken. Daarna kunnen processen en beveiligingsmaatregelen daarop aansluiten.
Security awareness alleen werkt niet
Ook traditionele security awareness kreeg stevige kritiek tijdens de sessie. Volgens Gralike tonen onderzoeken aan dat medewerkers de inhoud van veel awareness-trainingen al na enkele maanden grotendeels vergeten.
Dat betekent niet dat bewustwording nutteloos is. Wel betekent het dat organisaties te veel vertrouwen op trainingen als primaire beveiligingsmaatregel.
Volgens de sprekers moeten organisaties daarom zoeken naar manieren om risico’s structureel uit processen te verwijderen. Daarbij gebruikten zij e-mail als voorbeeld.
Veel organisaties investeren enorm veel tijd in phishing-trainingen. Medewerkers leren verdachte links herkennen en verdachte afzenders controleren. Volgens Gralike stellen maar weinig organisaties echter de fundamentele vraag waarom bepaalde processen nog steeds afhankelijk zijn van klikbare links in e-mails.
Wanneer een organisatie die afhankelijkheid vermindert, verdwijnt ook een groot deel van het risico. Daardoor hoeven medewerkers minder complexe beveiligingsbeslissingen te nemen.
Dat uitgangspunt sluit aan op een bredere verschuiving binnen cybersecurity. Moderne beveiliging draait steeds minder om het opleggen van regels en steeds meer om het slim ontwerpen van veilige standaardprocessen.
Compliance veroorzaakt nieuwe risico’s
Een belangrijk spanningsveld tijdens de keynote draaide om compliance. Veel organisaties ervaren nieuwe regelgeving als noodzakelijk, maar tegelijkertijd verstikkend.
Volgens Olrichs ontstaat het risico dat compliance een doel op zichzelf wordt. Organisaties richten processen dan vooral in om audits te doorstaan, terwijl de feitelijke veiligheid nauwelijks verbetert.
Dat probleem wordt versterkt doordat veel normen generiek zijn opgesteld. Ze houden onvoldoende rekening met specifieke architecturen, bedrijfsmodellen of werkwijzen.
Gralike gaf daarvan een voorbeeld uit de praktijk van Skunk Team. Het bedrijf werkt volledig serverless met microservices. Daardoor bestaat nauwelijks een permanente infrastructuur. Toch wilde een klant monitoring-software installeren die constant systemen moest controleren.
Volgens Gralike paste die maatregel totaal niet bij de architectuur. De extra monitoring introduceerde juist nieuwe componenten en extra risico’s.
Die situatie laat volgens hem zien waarom organisaties kritischer moeten kijken naar standaardmaatregelen. Niet elke best practice past automatisch binnen iedere omgeving.
Minder technologie, meer veiligheid
De centrale boodschap van de keynote bleef gedurende de hele sessie overeind: eenvoud creëert vaak meer veiligheid.
Volgens Olrichs en Gralike moeten organisaties daarom veel kritischer kijken naar hun bestaande landschap. Welke systemen voegen daadwerkelijk waarde toe? Welke processen bestaan alleen nog omdat ze ooit zijn ingevoerd? En welke maatregelen vergroten de complexiteit zonder aantoonbare veiligheidswinst?
Die vragen worden steeds relevanter nu organisaties tegelijkertijd moeten omgaan met AI, cloudplatformen, hybride infrastructuren en strengere regelgeving.
Juist in die context groeit de verleiding om steeds nieuwe tooling toe te voegen. Volgens de sprekers ontstaat daardoor een eindeloze keten van afhankelijkheden. Elke nieuwe oplossing vereist aanvullend beheer, nieuwe controles en extra kennis.
Daarmee verschuift risicomanagement van een strategische discipline naar een operationele overbelasting.
Volgens Gralike moeten organisaties daarom opnieuw leren ontwerpen vanuit eenvoud. Niet iedere dreiging vereist een nieuwe tool. Soms levert het verwijderen van een proces, koppeling of functionaliteit juist meer veiligheid op.
Risicomanagement vraagt ontwerpkeuzes
De keynote van Richard Olrichs en Chris Gralike liet vooral zien dat risicomanagement uiteindelijk draait om keuzes. Niet iedere dreiging hoeft volledig te worden afgedekt. Niet iedere norm hoeft letterlijk te worden vertaald naar extra tooling.
Succesvol risicomanagement begint volgens hen met een fundamentele vraag: welke waarde wil een organisatie beschermen en welke complexiteit accepteert zij daarvoor?
Die benadering vraagt om een andere manier van denken. Minder reageren vanuit angst en meer ontwerpen vanuit processen, gedrag en bedrijfsdoelen.
Daarmee raakt de discussie ook aan een bredere maatschappelijke ontwikkeling. Digitale weerbaarheid draait niet langer alleen om technologie. Het gaat steeds vaker over governance, ontwerpprincipes, menselijke interactie en organisatorische eenvoud.
Precies daarom sloot hun keynote goed aan op de bredere discussies rond digitale soevereiniteit, transparantie en verantwoord digitaliseren. Organisaties die hun digitale fundament eenvoudiger en begrijpelijker maken, bouwen uiteindelijk vaak ook een weerbaarder ecosysteem.
De paradox waarmee Olrichs en Gralike hun sessie begonnen, bleef daardoor overeind tot het einde: beter beveiligen begint soms juist met minder doen.