Er komen geen nadere regels die voorschrijven dat accountants altijd moeten controleren of een bedrijf de ICT-beveiliging op orde heeft. Dat schrijft staatssecretaris Keijzer (Economische Zaken en Klimaat) aan de Tweede Kamer. De huidige verslaggevingsregels zijn afdoende, vindt zij. Ook een aanvullende controletaak voor toezichthouders op het gebied van cybersecurity acht Keijzer niet nodig.
De GroenLinks-Kamerleden Snels en Van der Lee hadden vragen gesteld over de stelling dat in accountantsverklaringen nog te weinig aandacht wordt besteed aan cyberbeveiliging en ICT. Vereniging van ICT-auditors Norea liet bij monde van bestuurslid Marc Welters in het FD weten dat bedrijven in accountantsverklaringen nog maar weinig aandacht besteden aan cyberbeveiliging, deels omdat accountants zelf het belang van goede ICT vaak niet onderkennen. “Ik deel de mening van de opsteller van het artikel dat het belangrijk is dat bedrijven meer aandacht besteden aan cybersecurity”, schrijft Keijzer. Ze ziet dat bedrijven meer geld steken in ICT en veiligheid. “Het wisselt echter in welke mate aandacht aan cybersecurity wordt besteed. In dit kader kunnen audits een bijdrage leveren aan het cybersecure maken van publieke organisaties en ondernemingen.” Keijzer verwijst naar de publieke managementletter van de NBA over dit onderwerp uit mei 2016.
ICT-risico’s in bestuursverslag
De vragenstellers wilden daarnaast weten of accountantsverklaringen expliciet aandacht moeten geven aan de belangrijkste onderwerpen bij een bedrijf en of cyberbeveiliging en ICT in het huidige tijdperk niet vrijwel altijd tot de belangrijkste onderwerpen bij een bedrijf horen. “Middelgrote en grote ondernemingen dienen in het bestuursverslag een beschrijving te geven van de voornaamste risico’s waarmee de rechtspersoon wordt geconfronteerd. In deze tijd zullen ICT-gerelateerde risico’s daar regelmatig deel van uitmaken. De accountant gaat vervolgens na of er in het bestuursverslag materiële onjuistheden zijn gebleken, waarbij hij zich mede baseert op de kennis die hij bij het onderzoek van de jaarrekening over de onderneming heeft gekregen, en neemt dit oordeel op in de accountantsverklaring”, aldus Keijzer. Ze wijst ook op de management letter, die informatie moet bevatten over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Voor de wettelijke controle van OOB-organisaties geldt de plicht een beschrijving te geven van de kernpunten van de controle. “Ook daaronder kunnen risico’s op het gebied van cybersecurity vallen.”
Geen nieuwe regels cybersecurity
Keijzer ziet niets in aparte regels die voorschrijven dat accountants moeten controleren of (beursgenoteerde) bedrijven maatregelen treffen op het gebied van
cyberbeveiliging. Er zijn al verslaggevingsregels die aandacht voor belangrijke risico’s vereisen. “Daarnaast worden op dit moment andere beleidsinstrumenten ingezet om bedrijven bewust te maken van cybersecurityrisico’s en om ze te helpen deze risico’s te adresseren. Ik wil organisaties verder vooralsnog de ruimte geven om
zelf de juiste instrumenten te kiezen om hun bedrijf cybersecure te maken. Bij veel bedrijven zie je nu al dat audits worden uitgevoerd om te kijken hoe goed
bedrijven beveiligd zijn. Dit zijn uitvoerige audits waar gebruik wordt gemaakt van praktische instrumenten. Ook worden andere vrijwillige middelen als Coordinated
Vulnerability Disclosure en penetration testing ingezet door bedrijven om de weerbaarheid van IT-systemen te testen.”
NIB
Ook een plicht voor toezichthouders om te controleren of een bedrijf zijn cyberveiligheid goed op orde heeft, is geen optie voor Keijzer. “Op dit
moment wordt er nieuwe cybersecurityregelgeving geïmplementeerd als gevolg van de Netwerk- en Informatiebeveiligingsrichtlijn (NIB).” Die moet het Europese beleid op ICT- en beveiligingsgebied op een lijn brengen. De richtlijn stelt onder meer eisen aan partijen die essentiële diensten aanbieden en digitale dienstverleners. “Het is aan de aangewezen toezichthouders om per sector te bepalen op welke wijze zij het toezicht zullen vormgeven. Toezichthouders kunnen daarbij audits voorschrijven.”
Geef een reactie